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APRESENTAÇAO 


No cenário contemporâneo, onde a proteção de dados pessoais tornou-se 
uma preocupação premente, a obra “Responsabilidade Civil na LGPD: Desafios 
e Perspectivas” propõe uma análise aprofundada sobre a responsabilidade civil 
no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil. Este livro 
científico busca preencher uma lacuna ao explorar as implicações jurídicas e as 
nuances da responsabilidade civil na era digital, com foco nas disposições da 
LGPD. 

Com quatro capítulos, o livro versa sobre os seguintes aspectos: 

Responsabilidade Civil no Sistema Jurídico Brasileiro: a primeira parte do 
livro fornece uma base sólida ao examinar os fundamentos da responsabilidade 
civil no sistema jurídico brasileiro. Serão abordadas as principais teorias e 
evoluções jurisprudenciais que moldaram a responsabilidade civil no país, 
proporcionando um entendimento essencial para a análise específica da LGPD. 

Proteção de Dados na Internet: a segunda parte explora os desafios 
e complexidades da proteção de dados na era da internet. A rápida evolução 
tecnológica e a interconexão global destacam a necessidade de uma abordagem 
holística para entender como a responsabilidade civil se aplica a questões de 
privacidade e segurança de dados no ambiente online. 

Responsabilidade Civil na Lei Geral de Proteção de Dados: a seção central 
concentra-se na LGPD, oferecendo uma análise detalhada das disposições 
relevantes relacionadas à responsabilidade civil. Serão explorados temas como 
o tratamento de dados pessoais, os direitos dos titulares, as obrigações dos 
controladores e operadores, e como esses elementos se entrelaçam com os 
princípios da responsabilidade civil. 

Este livro destina-se a acadêmicos, profissionais do direito e especialistas 
em privacidade que buscam uma compreensão abrangente da responsabilidade 
civil na LGPD. Ao combinar uma base sólida no sistema jurídico brasileiro, uma 
análise crítica da proteção de dados na internet e uma exploração detalhada da 
LGPD, a obra oferece insights valiosos para enfrentar os desafios emergentes 
e moldar o futuro da responsabilidade civil no contexto da proteção de dados no 
Brasil. 
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RESUMO 


A popularização da internet promoveu uma revolução digital sem precedentes. A 
revolução digital em que a sociedade está inserida no agora. Nesse contexto, as 
dinâmicas de poder mudaram, passando sua detenção a ser dada àqueles com 
mais informação. E às informações mais importantes: os dados pessoais. Nessa 
conjuntura, o Direito, na qualidade de instrumento de pacificação das relações 
sociais, necessita de mecanismos que garantam a segurança, tanto das relações 
jurídicas, quanto das relações interpessoais, ainda que, em ambientes virtuais. 
Para isso, é necessário tutelar pela reparação de danos na internet. O objetivo 
desta obra é, no contexto apresentado, definir o regime de responsabilidade civil 
dos agentes que realizam tratamento de dados, sejam entes públicos, sejam 
privados. Para isso, será analisado o instituto da responsabilidade civil, a conjuntura 
histórica da proteção de dados que originou a LGPD no Brasil e, principalmente, 
o preceituado na própria lei. A metodologia de pesquisa empregada consiste na 
coleta e análise de material bibliográfico disponível na legislação brasileira e 
estrangeira sobre o tema. Será utilizado o método científico dedutivo e indutivo 
para contraposição e triagem dos materiais. As conclusões indicam que na Lei 
Geral de Proteção de Dados ocorre a incidência tanto da responsabilidade civil 
objetiva, quanto subjetiva. A variação da responsabilidade depende da natureza 
jurídica da pessoa detentora dos dados, bem como da envolvida. 
PALAVRAS-CHAVE: Lei Geral de Proteção de Dados. Responsabilidade Civil. 
Internet. Agentes de Tratamento. 
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INTRODUÇÃO 


O que desencadeia uma mudança? E o que provoca uma transformação estrutural 
e disruptiva na sociedade? Estas indagações têm sido respondidas ao longo dos séculos 
através das revoluções industriais, que não apenas revolucionaram os meios de produção, 
mas também moldaram os padrões culturais de suas épocas. Essas mudanças não foram 
apenas inevitáveis; foram fundamentais. 

O advento do computador, da informática e da Internet representa os mais recentes 
e disruptivos avanços, capazes de impulsionar uma nova revolução: a Terceira Revolução 
Industrial, também conhecida como Revolução Digital. Esta revolução não apenas alterou, 
mas redefiniu profundamente a maneira como a humanidade se relaciona em todos os 
níveis. Não existem mais detentores exclusivos de conhecimento. A sociedade evoluiu para 
uma era de informações instantâneas e independentes. O aprendizado tornou-se ubíquo, 
ultrapassando as barreiras da academia, tornando qualquer conteúdo sujeito a verificação 
e atualização instantânea. Não há mais fronteiras territoriais que limitem a disseminação 
e o recebimento de informações. Estabeleceu-se, assim, uma Sociedade Global, com 
sociedades civis transnacionais articuladas e complexas. 

Essas transformações não se restringiram apenas ao formato de trabalho, consumo e 
lazer; elas permearam também a esfera mais pessoal e privada dos indivíduos, estendendo- 
se às relações afetivas. A posse do poder passou a depender daqueles que detêm mais 
informação, especialmente no que diz respeito a dados pessoais. A informação tornou- 
se um instrumento econômico e de controle, e, com isso, os dados pessoais também. 
Diariamente, somos testemunhas de casos nos quais dados pessoais são utilizados para 
fins políticos, tanto a nível nacional quanto internacional. Além dos escândalos envolvendo 
órgãos públicos e campanhas presidenciais, há também o tradicional — embora não 
necessariamente legal — compartilhamento de bancos de dados para interesses comerciais, 
seja para a prospecção de consumidores ou para posicionar empresas como empregadoras 
de destaque. 

Com o advento da era digital, acentua-se a dicotomia entre o espaço público e 
privado. À medida que cresce a propensão para a partilha de conteúdos relacionados à 
esfera íntima do indivíduo, torna-se manifesto o imperativo da salvaguarda dos dados 
pessoais. A despeito de aparentemente antitéticas, essas aspirações se coadunam, pois 
ambas almejam assegurar o direito fundamental à privacidade, conferindo à pessoa a 
prerrogativa de divulgar apenas o que deseja, mantendo velado o que é intrínseco. 

Nesse contexto, o Direito, enquanto instrumento de tutela das relações sociais, 
demanda mecanismos que assegurem a segurança tanto individual quanto coletiva, mesmo 
em ambientes virtuais. Diante dos desafios contemporâneos, há a necessidade premente 
de atualizar institutos jurídicos tradicionais, capacitando-os a lidar de modo robusto com 
tais problemáticas. A responsabilidade civil surge como exemplo paradigmático. 
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Contudo, mais crucial do que a reparação de danos, especialmente no ciberespaço, 
onde ainda persiste a salvaguarda do direito ao esquecimento, é a prevenção de tais 
prejuízos ou a contenção de suas repercussões. Em resposta a essa demanda e alinhado 
às influências de normativas internacionais, o Brasil promulgou sua primeira legislação 
específica para a proteção de dados pessoais, a Lei nº 13.709 de 14 de agosto de 2018, 
conhecida como Lei Geral de Proteção de Dados (LGPD). Embora tenha entrado em vigor 
apenas em janeiro de 2021, a LGPD figura como um marco normativo relevante no que 
concerne à proteção preventiva dos dados e à responsabilidade civil no âmbito virtual. 

Diante do exposto, consciente da imperatividade de produção acadêmica acerca 
da legislação de proteção de dados e considerando a aplicabilidade do instituto da 
responsabilidade civil como instrumento de tutela social, reparação de danos e solução 
de conflitos, este trabalho propõe-se a analisar a incidência da responsabilidade civil na 
LGPD. O escopo principal consiste em delinear o regime de responsabilidade civil dos 
agentes responsáveis pelo tratamento de dados, quer sejam entes públicos ou privados. 
Para tal desiderato, serão examinados o instituto da responsabilidade civil, o contexto 
histórico da proteção de dados que culminou na LGPD no Brasil e, sobretudo, os preceitos 
consignados na mencionada legislação. 

A metodologia de pesquisa empregada envolve a coleta e análise de material 
bibliográfico disponível na legislação brasileira e estrangeira sobre o tema. O método 
científico adotado será dedutivo e indutivo, propiciando a contraposição e triagem dos 
materiais. A seleção do material bibliográfico será realizada mediante busca em doutrinas, 
jurisprudência, livros, artigos científicos e teses de pós-graduação. 

O levantamento da pesquisa bibliográfica será realizado por meio de indexadores 
de periódicos, bancos de dados oficiais e bibliotecas digitais, incluindo Domínio Público, 
Portal Capes e a plataforma SciELO (Scientific Eletronic Library Online). As palavras- 
chave utilizadas para a pesquisa de material abrangerão os termos: “proteção de dados”; 
“responsabilidade civil”; “responsabilidade na internet”; “dados pessoais”; “direito à 
privacidade”. 

Quanto à metodologia empregada, o desenvolvimento da pesquisa foi pautado na 
interdisciplinaridade, buscando uma compreensão aprofundada do tema e de seus impactos 
em todas as áreas do Direito, nas esferas civil, penal e empresarial. Reconhecendo a 
unicidade do Direito, a pesquisa não se limitou a isso para ser considerada interdisciplinar. 
Para tanto, incorporou fontes teóricas provenientes das áreas da tecnologia, sociologia e 
negócios. Isso ocorreu porque os impactos da Lei Geral de Proteção de Dados, refletindo 
características intrínsecas do próprio Direito, transcendem a esfera ontológica da norma 
enquanto norma, trazendo consequências sociais concretas. 

Em síntese, no primeiro capítulo do trabalho, será apresentado o instituto jurídico 
da responsabilidade civil, sua definição e seus elementos essenciais. O capítulo também 
abordará a evolução histórica que culminou na configuração atual da responsabilidade 
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civil no ordenamento jurídico brasileiro, bem como as espécies de responsabilidade, 
apresentando diferenciações entre a subjetiva e a objetiva. 

No segundo capítulo, por sua vez, ocorrerá a delimitação da temática de proteção 
de dados na Internet. Inicia-se abordando o surgimento da rede mundial de computadores 
e seu impacto no direito à privacidade e na proteção de dados, culminando no processo 
de legislação acerca da utilização de dados pessoais no ambiente virtual. O capítulo 
apresentará panoramas internacionais de proteção de dados que influenciaram a construção 
do processo de regulamentação no Brasil, bem como a relação da responsabilidade civil na 
Internet e a violação de dados. 

Por último, o terceiro capítulo analisará a incidência do instituto da responsabilidade 
civil na Lei Geral de Proteção de Dados. Apresentará aspectos introdutórios e essenciais 
da lei e subdividir-se-á em responsabilidade civil do Poder Público e responsabilidade civil 
dos demais agentes de tratamento. Desse modo, considerará o tratamento diferenciado 
dispensado ao Estado, dentro do Direito Administrativo, em razão da responsabilidade civil 
objetiva. 

Assim, o presente trabalho se configura como uma resposta ao desafio de relacionar 
um instituto histórico e consolidado, qual seja a responsabilidade civil, com a Lei nº 
13.709/2018, representando um marco no ordenamento jurídico brasileiro de proteção ao 
direito fundamental da privacidade. 
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A RESPONSABILIDADE CIVIL NO SISTEMA JURÍDICO 
BRASILEIRO 


O presente capítulo empreenderá uma análise acerca dos pressupostos e 
desenvolvimento histórico da responsabilidade civil, delineando os elementos que 
ensejaram sua consolidação no ordenamento jurídico brasileiro. Adicionalmente, serão 
destrinçados o conceito e os requisitos essenciais para a configuração da responsabilidade 
civil, bem como serão discutidas as funções desempenhadas por esse instituto no cenário 
jurídico pátrio, assim como as diversas modalidades que lhe foram atribuídas. 


1.1 ASPECTOS HISTÓRICOS DA RESPONSABILIDADE CIVIL 


As interações humanas, inerentes à convivência social, exercem influência nas 
circunstâncias sociais, gerando efeitos benéficos ou prejudiciais aos sujeitos envolvidos. 
A emergência do Direito ocorre como resposta à necessidade de mitigar os impactos 
negativos dessas interações, restaurando a harmonia entre os indivíduos por meio da 
solução de conflitos e da normatização de regras. Nesse contexto, a responsabilidade civil, 
enquanto derivada do Direito, assume a função preponderante de assegurar a reparação 
dos danos suportados pelo indivíduo lesado, impondo, paralelamente, consequências ao 
agente causador do dano, seja por ação ou omissão. 

Na Idade Antiga, predomina a vingança privada, manifestação instintiva e severa da 
vítima ou seus familiares diante de qualquer agravo. A posterior regulamentação da vingança 
privada resulta na pena de Talião, “olho por olho, dente por dente”, subsistindo até o Código 
de Ur-Nammu, o Código de Manu e a Lei das XII Tábuas. A evolução jurídica em Roma 
culmina na Lex Aquilia, marco regulatório que estabeleceu requisitos para a configuração 
do dano, exercendo influência marcante na estrutura atual da responsabilidade civil. 

O Direito Romano, antecessor da responsabilidade civil, testemunha sua 
consolidação no direito moderno. Em Roma, a reparação do dano restringia-se a casos 
específicos de violação, e as responsabilidades civil e penal não eram claramente distintas, 
inexistindo separação entre os conceitos de pena e reparação. Essa distinção emergiu nas 
correntes juspositivistas do direito moderno. 

Nesse ínterim, cristaliza-se o conceito de culpa como requisito para a configuração 
do dever de reparação, sendo o direito francês pioneiro, sob a influência dos ideais 
iluministas. O Código Civil francês normatiza o princípio geral da responsabilidade civil 
ao instituir o delito civil e a obrigação dele decorrente de reparação de dano, introduzindo 
também os conceitos de culpa in eligendo e in vigilando. 

As inovações do Código Civil francês reverberam em normativas globais, inclusive 
no Brasil. Antes do Código Civil de 1916, as Ordenações Filipinas, datadas de 1595, regiam 
o direito civil brasileiro, sem distinção nítida entre responsabilidade civil e penal. Após a 
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Independência do Brasil, as Ordenações Filipinas persistiram com modificações. O Código 
Criminal de 1830 condicionava a reparação civil à condenação criminal prévia. A vinculação 
da responsabilidade civil apenas aos danos decorrentes de condutas penais perdurou até a 
Consolidação de Leis Civis, elaborada por Teixeira de Freitas em 1858. 

A consolidação da responsabilidade civil no ordenamento jurídico brasileiro ocorreu 
em 1912, com o Decreto-Lei n. º 2.681, que tratava da responsabilidade dos agentes 
econômicos que exploravam estradas de ferro. Esse decreto também introduziu o conceito 
de responsabilidade objetiva no direito brasileiro. 

O Código Civil Brasileiro de 1916, inspirado no direito francês e no Código de 
Napoleão, abordava a responsabilidade civil em seu artigo 159 e outras instituições, 
mantendo-se vinculado à teoria subjetiva, que exigia prova de culpa ou dolo do responsável 
pelo dano para a reparação. 

Entretanto, a teoria da culpa revelou-se insuficiente para proteger os direitos 
individuais diante das transformações provocadas pela introdução da tecnologia no Brasil 
no século XX. As relações jurídicas tornaram-se mais complexas com a transição para 
uma sociedade de consumo, demandando modelos jurídicos que proporcionassem maior 
segurança aos indivíduos. 

Consoante a assertiva de Venosa (2010, p. 19), o desenvolvimento tecnológico e 
econômico enfrentado pela cultura ocidental após a Segunda Guerra Mundial, conhecido 
como processo de aceleração histórica, teve reflexos significativos no campo dos contratos 
e, sobretudo, nos princípios relacionados ao dever de indenizar. Nesse contexto, a busca 
por instrumentos jurídicos mais aprimorados foi constante para manter o Direito alinhado à 
realidade social, sendo as soluções indenizatórias renovadas para atender às necessidades 
práticas do homem contemporâneo. 

As questões relativas a acidentes de trabalho foram as primeiras a abordar a 
responsabilidade civil objetiva no Brasil, diante das demandas de indenização geradas 
pelos eventos danosos provocados pela mecanização. Posteriormente, a responsabilidade 
civil objetiva foi incorporada ao Código Brasileiro de Aeronáutica, à Lei n.º 6.453/1977 
(dano nuclear) e teve como marco legal a Lei da Política Nacional do Meio Ambiente (Lei 
n.º 6.938/1981), que previu, em seu art. 14, 8 1.º, a responsabilidade objetiva por danos ao 
meio ambiente. 

A Constituição Federal de 1988 consolidou a responsabilidade civil no ordenamento 
jurídico brasileiro, destacando a responsabilidade sem culpa em seu artigo 37, 8 6º, que 
estabelece que as pessoas jurídicas de direito público e privado prestadoras de serviços 
públicos responderão pelos danos causados por seus agentes, assegurando o direito de 
regresso. 

Necessário se faz ressaltar que a Constituição emergia do fim de regime autoritário 
para instituir o Estado Democrático de Direito, apresentando, desse modo, aspectos 
estruturais relevantes para a renovação do direito brasileiro, inclusive na esfera privada 
(Miragem, 2016, p. 71). 
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No que pertine à responsabilidade objetiva, precipuamente delineada no artigo 37, 
86º, da Constituição Federal, configura-se como expressão normativa da responsabilidade 
civil do Estado, tanto no âmbito público quanto no privado, quando desempenhando 
atividades de cunho público. Essa forma de responsabilidade prescreve que as pessoas 
jurídicas de direito público e privado que prestam serviços públicos são responsáveis pelos 
danos causados por seus agentes, assegurando o direito de regresso nos casos de dolo 
ou culpa. 

Nesse contexto, a responsabilidade civil objetiva assume uma abordagem mais 
aprofundada com a promulgação do Código de Defesa e Proteção do Consumidor em 1990. 
Este diploma legal institui a responsabilidade sem culpa dos fornecedores de produtos e 
prestadores de serviços, fundamentando-se na teoria do risco. Consoante a essa teoria, 
aqueles que auferem benefícios econômicos em uma transação comercial devem assumir 
os riscos e as desvantagens dela decorrentes. A dinâmica aqui é clara: quem aufere os 
proveitos deve suportar os ônus (Gonçalves, 2012, p.29). 

Ademais, no âmbito da responsabilidade civil consumerista, a legislação 
apresenta prerrogativas relevantes, destacando-se a reparação integral dos danos 
(patrimoniais, morais, individuais, coletivos e difusos), a limitação das causas de exclusão 
de responsabilidade do fornecedor, o reconhecimento do direito ao arrependimento e a 
facilitação do acesso à justiça. 

Em decorrência dos avanços promovidos pelo Código de Defesa do Consumidor, o 
Código Civil de 2002 perpetua o princípio da responsabilidade subjetiva, lastreada na culpa. 
Entretanto, inova ao incorporar, de maneira mais ampla e específica, a responsabilidade 
objetiva, prescrita em casos determinados pela legislação. Adicionalmente, o Código Civil 
incorpora a teoria do risco proveito, diferenciando-se do regime anterior que demandava a 
definição legislativa das atividades consideradas perigosas ou de risco (Gonçalves, 2012, 
p.30). 


1.2 CONCEITO E PRESSUPOSTOS DA RESPONSABILIDADE CIVIL 


A responsabilidade civil, como princípio basilar, encontra seu fundamento na 
necessidade inarredável de restauração do statu quo ante, consubstanciando-se no 
restabelecimento da estabilidade jurídica após violação de normas de conduta preexistentes, 
por ação ou omissão voluntária, negligência ou imprudência. A reparação de danos, nesse 
contexto, ostenta a finalidade de conferir benefícios tanto ao sujeito diretamente lesado 
quanto à coletividade, cujas expectativas são satisfeitas pelo imperativo da justiça. Venosa 
(2010, p. 2) corrobora essa premissa ao afirmar: 


“Os princípios da responsabilidade civil buscam restaurar um equilíbrio 
patrimonial e moral violado. Um prejuízo ou dano não reparado é um fator de 
inquietação social. Os ordenamentos contemporâneos buscam alargar cada 
vez mais o dever de indenizar, alcançando novos horizontes, a fim de que 
cada vez menos restem danos irressarcidos.” 
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Embora o Código Civil de 2002 não delineie de maneira explícita o conceito de 
responsabilidade civil, Gagliano (2017, p. 858) habilmente a define como “a responsabilidade 
civil deriva da agressão a um interesse eminentemente particular, sujeitando, assim, o 
infrator ao pagamento de uma compensação pecuniária à vítima, caso não possa repor in 
natura o estado anterior de coisas.” 

Nesse contexto conceitual, é imperioso sublinhar a dicotomia entre a 
responsabilidade civil e a responsabilidade criminal. Enquanto a conduta geradora de 
indenização não acarreta punição penal, o dano que fundamenta a responsabilidade civil 
causa, exclusivamente, prejuízo a um particular, passível de compensação mediante a 
restituição do estado anterior à lesão ou por meio de compensação pecuniária. Por outro 
lado, a responsabilidade criminal deriva da transgressão de normas penais, perturbando a 
ordem social, sem proporcionar ressarcimento direto ao lesado. 

É oportuno destacar que o Código Civil de 2002, sob a influência do Código 
Civil francês, incorpora os conceitos de culpa in eligendo e in vigilando. Desse modo, 
o sujeito é responsável não apenas pela reparação do dano causado por sua própria 
conduta, configurando a responsabilidade civil direta, mas também pela reparação do 
dano perpetrado por terceiros pelos quais é responsável ou por algo que lhe pertence, 
caracterizando a responsabilidade civil indireta. 

A codificação da responsabilidade civil no Código Civil encontra-se expressa no art. 
186, estipulando: “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, 
violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.” 
Adicionalmente, o art. 187 complementa definindo que “também comete ato ilícito o titular 
de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim 
econômico ou social, pela boa-fé ou pelos bons costumes.” 

Portanto, segundo as previsões do Código Civil, os atos ilícitos, por contrariarem 
deveres de conduta, erigem-se como fontes geradoras da obrigação de indenizar o prejuízo 
causado. Destaca-se, contudo, que não apenas os atos ilícitos ensejam essa obrigação, 
pois atos lícitos, como os praticados em estado de necessidade, também podem ensejar 
reparação (Gonçalves, 2012, p. 33).A responsabilidade civil não tem como finalidade 
apenas a reparação do dano do autor em face do lesado. Do mesmo modo que a própria 
lei, possui sentido tríplice: reparar, punir e educar. Diante do exposto, verifica-se que esse 
instituto privado também possui funções sociais e coletivas, dominadas pela doutrina de 
tripla função da responsabilidade civil, sendo estas: 


A primeira função é a reparatória, com a clássica visão de transferência dos 
danos do patrimônio de uma parte para outra. A segunda função é a punitiva— e 
não tão somente sancionatória —, uma vez que a responsabilidade civil funciona 
como uma pena civil ao ofensor, como desestímulo de comportamentos não 
admitidos pelo Direito. Por fim, tem-se a função precaucional, com o objetivo 
de evitar ou inibir novas práticas danosas (TARTUCE, 2018, p. 52). 
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A função compensatória, inerente ao substrato conceitual da responsabilidade civil, 
preceitua que a reparação dos danos deve ser proporcionada aos prejuízos suportados 
pela vítima. Essa função encontra respaldo normativo no art. 944 do Código Civil e no 
princípio da reparação integral dos danos, consagrado no art. 6.º, inc. VI, do Código de 
Defesa do Consumidor (CDC). É imperioso frisar que, via de regra, a contraprestação 
devida pela responsabilidade civil reveste-se predominantemente de caráter pecuniário, 
devendo guardar equivalência com o dano causado à vítima, mesmo quando este ostenta 
natureza extrapatrimonial, como ocorre nas indenizações por danos morais. 

Por sua vez, a função punitiva, pedagógica ou sancionatória constitui-se na 
imposição de uma sanção com o propósito de dissuadir condutas violadoras de direitos. 
Nesse contexto, a responsabilidade civil assume uma finalidade adicional de coibir 
comportamentos vedados por normas legais ou contratuais, que infrinjam direitos alheios. 
Importante sublinhar que essa função não se configura como o escopo primordial da 
responsabilidade civil, sendo admissível sua não aplicação nos casos em que a restituição 
integral à situação jurídica anterior é factível (Gagliano, 2017, p. 868). 

Adicionalmente, destaca-se uma função preventiva ou socioeducativa, a qual, ao 
publicizar as sanções impostas, repercute de forma indireta na sociedade. Dessa forma, 
no plano subjetivo, desencoraja condutas assemelhadas e, no plano objetivo, estimula a 
prevenção de acidentes ou danos como medida de racionalidade econômica, tratando a 
indenização como um custo inerente à atividade (Ulhoa, 2018, 555). 

Conquanto existam pressupostos gerais para a configuração da responsabilidade 
civil, tais como a conduta, a culpa ou dolo, o nexo de causalidade e o dano, é relevante 
assinalar que o entendimento acerca da culpa como requisito não é pacífico na doutrina 
brasileira. Não obstante as divergências, a corrente preponderante adota a compreensão 
de que a culpa representa um elemento fundamental da responsabilidade civil. Sobre esse 
ponto, Flávio Tartuce elucida: 


De qualquer forma ainda prevalece o entendimento pelo qual a culpa em 
sentido amplo ou genérico é sim elemento essencial da responsabilidade civil 
tratada pela codificação material, tese à qual este autor está filiado. Em outras 
palavras, constitui regra geral do Direito Civil brasileiro e do Direito Comparado 
a adoção da teoria da culpa, segundo a qual haverá obrigação de indenizar 
somente se houver culpa genérica do agente, sendo certo que o ônus de 
provar a existência de tal elemento cabe, em regra, ao autor da demanda 
[...]. Com relação à outra corrente, que defende ser a responsabilidade sem 
culpa a regra da responsabilidade do Código Civil, vale o alerta de que é 
da melhor técnica legislativa positivar a regra, uma vez apenas e a exceção 
várias vezes, como ocorreu com a responsabilidade com culpa e sem culpa, 
respectivamente ( 2018, p. 169). 


No âmbito deste estudo, conforme delineado anteriormente, compreende-se que o 
Código Civil de 2002 adotou a teoria da culpa como princípio orientador, alinhando-se ao 
entendimento preconizado por Tartuce e corroborado por Venosa (2019, p. 477), ao afirmar 
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que “o art. 186 do Código em vigor elegeu a culpa como o fulcro da responsabilidade 
subjetiva que baliza a responsabilidade civil no ordenamento jurídico brasileiro”. Destarte, 
a culpa será elencada como um dos elementos fundamentais da responsabilidade civil. 

A conduta humana, primordial componente da responsabilidade civil, materializa-se 
por meio de ações ou omissões. A substância da conduta humana reside na voluntariedade 
do agente, ou seja, deve decorrer da livre escolha deste. No que tange à voluntariedade da 
conduta, esclarecem Pablo Stolze Gagliano e Rodolfo Pamplona Filho (2008, p. 28): 


Em outras palavras, a voluntariedade, que é pedra de toque da noção de 
conduta humana ou ação voluntária, primeiro elemento da responsabilidade 
civil, não traduz necessariamente a intenção de causar o dano, mas sim, e 
tão-somente, a consciência daquilo que se está fazendo. E tal ocorre não 
apenas quando estamos diante de uma situação de responsabilidade 
subjetiva (calcada na noção de culpa), mas também de responsabilidade 
objetiva (caucada na idéia de risco), porque em ambas as hipóteses o agente 
causador do dano deve agir voluntariamente, ou seja, de acordo com a sua 
livre capacidade de autodeterminação. 

No presente contexto, reitera-se que o Código Civil de 2002 adota a teoria da culpa 
como regra, alinhando-se ao entendimento de Tartuce e Venosa (2019, p. 477), que afirmam 
que “o art. 186 do Código em vigor elegeu a culpa como o centro da responsabilidade 
subjetiva que norteia a responsabilidade civil no direito brasileiro”. Nesse sentido, a culpa é 
enumerada como elemento essencial da responsabilidade civil. 

A conduta humana, primordial na responsabilidade civil, manifesta-se por meio 
de ação ou omissão, onde a voluntariedade do agente é crucial. Destaca-se que essa 
voluntariedade não exige a consciência da ilicitude do ato ou intenção de causar dano, mas 
sim a autodeterminação do agente. É imperativo que essa conduta seja ilícita, configurando 
um comportamento voluntário que transgride um dever, caracterizando, assim, um ato ilícito 
(Venosa, 2019, p. 475). No âmbito da responsabilidade civil contratual, oriunda de negócio 
jurídico, a conduta humana materializa-se na própria violação do contrato. 

A segunda vertente, a culpa em sentido amplo, engloba o erro ou desvio de conduta. 
Para pleitear a reparação do dano, a vítima precisa comprovar o dolo ou a culpa stricto 
sensu do agente, conforme a teoria subjetiva adotada no Código Civil. O dolo, configurado 
quando o agente, consciente da ilicitude e reprovabilidade de sua conduta, pratica o 
ato intencionalmente, contrasta com a culpa stricto sensu, originada por negligência ou 
imprudência, conforme estipulado no art. 186 do Código Civil (Gonçalves, 2012, p. 51). 

O nexo de causalidade, ou relação de causalidade, atua como a ligação essencial 
entre a ação do agente e o dano sofrido. É por meio dessa relação que se estabelece que a 
conduta do agente foi a geradora do dano à vítima. Essencial tanto para a responsabilidade 
civil subjetiva quanto para a objetiva, o nexo de causalidade é determinante, sendo a 
exclusão deste o único meio de eximir-se da responsabilidade quando esta é objetiva. 
Sobre as excludentes do nexo causal, Venosa oferece instruções: 
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O caso fortuito e a força maior são excludentes do nexo causal, porque o 
cerceiam, ou o interrompem. Na verdade, no caso fortuito e na força maior 
inexiste relação de causa e efeito entre a conduta do agente e o resultado 
danoso. Se o dano ocorrer por culpa exclusiva da vítima, também não aflora o 
dever de indenizar, porque se rompe o nexo causal (2019, 511) 

Entretanto, destaca-se que a exclusão do nexo causal requer a inexistência 
de qualquer contribuição por parte do agente para o resultado danoso; caso contrário, 
caracterizar-se-á a culpa concorrente. Em situações em que tanto o agente quanto a 
vítima são responsáveis pelos danos, a indenização ainda será devida, porém, o grau 
de concorrência da vítima terá relevância na determinação do quantum indenizatório. 
Gagliano (2017, p. 908) esclarece que “a indenização deverá ser reduzida, na proporção 
da contribuição da vítima para o evento danoso”. 

O último elemento essencial é o dano, entendido como a lesão a um interesse 
jurídico que acarreta prejuízo material ou moral, seja individual ou coletivo (Venosa, 2019, 
p. 492). A reparação do dano constitui o cerne da responsabilidade civil, sendo a ausência 
desta a razão para a inexistência da obrigação de indenizar. Gonçalves (2012, p. 51) 
enfatiza: “Mesmo que haja violação de um dever jurídico e que tenha havido culpa, e até 
mesmo dolo, por parte do infrator, nenhuma indenização será devida, uma vez que não se 
tenha verificado prejuízo”. 


1.3 ESPÉCIES DE RESPONSABILIDADE CIVIL 


Concluindo as considerações sobre a responsabilidade civil, é imperativo abordar 
as distintas modalidades adotadas pelo ordenamento jurídico brasileiro. Ao longo do texto, 
foram mencionados termos como responsabilidade civil objetiva, subjetiva, com culpa e 
sem culpa. Neste momento, aprofundar-nos-emos na delimitação desses conceitos, que 
caracterizam diferentes vertentes da responsabilidade civil. 

Como anteriormente elucidado, a Lei Aquilia marca o início histórico da imputação de 
responsabilidade pelos danos causados em virtude de culpa, estabelecendo consequências 
para eventos danosos provocados de maneira intencional. Sob a significativa influência do 
direito romano, o sistema jurídico brasileiro absorveu, de forma sistêmica, a culpa como 
elemento crucial da responsabilidade civil, conforme expõe Carlos Roberto Gonçalves: 


Em face da teoria clássica, a culpa era fundamento da responsabilidade. Esta 
teoria, também chamada de teoria da culpa, ou “subjetiva”, pressupõe a culpa 
como fundamento da responsabilidade civil. Em não havendo culpa, não há 
responsabilidade. Diz-se, pois, ser “subjetiva” a responsabilidade quando se 
esteia na ideia de culpa. A prova da culpa do agente passa a ser pressuposto 
necessário do dano indenizável. Nessa concepção, a responsabilidade do 
causador do dano somente se configura se agiu com dolo ou culpa (2012, 
p. 46). 
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Frente ao exposto, constata-se que a responsabilidade subjetiva fundamenta-se na 
teoria da culpa, exigindo a comprovação da culpa do agente para que o prejuízo seja 
suscetível de indenização. Nesse contexto, em situações como caso fortuito ou força maior, 
em que não há culpa, a reparação de danos pela responsabilidade civil não se configura, 
uma vez que o agente não concorreu para o dano. 

Como decorrência processual direta do alicerce da responsabilidade civil subjetiva 
no princípio de que cada indivíduo responde por sua própria culpa, o ônus da prova da culpa 
recai sobre o autor. Isso ocorre porque a culpa passa a caracterizar um fato constitutivo 
do direito à pretensão reparatória. Entretanto, nos casos de responsabilidade civil indireta, 
ou seja, situações previstas em lei que atribuem a responsabilidade a alguém por dano 
causado por terceiro com quem mantém relação jurídica, a culpa é presumida, em função 
do dever geral de vigilância ao qual o réu está obrigado. 

Diante das revoluções tecnológicas ao longo do século XX, as vítimas de acidentes 
inevitáveis frequentemente encontravam-se desamparadas perante a justiça, uma vez que 
não havia culpa por parte do agente responsável pelo dano. Diante desse cenário e com 
o fortalecimento do movimento objetivista, que emergiu no final do século XIX, tornou-se 
evidente a necessidade de questionar a indispensabilidade do pressuposto subjetivo para 
a imputação de responsabilidade por danos (Ulhoa, 2018, p. 527). Desse dilema, surgiu a 
teoria objetiva: 


Uma das teorias que procuram justificar a responsabilidade objetiva é a teoria 
do risco. Para esta teoria, toda pessoa que exerce alguma atividade cria um 
risco de dano para terceiros. E deve ser obrigada a repará-lo, ainda que sua 
conduta seja isenta de culpa. A responsabilidade civil desloca-se da noção 
de culpa para a ideia de risco, ora encarada como “risco-proveito”, que se 
funda no princípio segundo o qual é reparável o dano causado a outrem em 
consequência de uma atividade realizada em benefício do responsável (ubi 
emolumentum, ibi onus); ora mais genericamente como “risco criado”, a que 
se subordina todo aquele que, sem indagação de culpa, expuser alguém a 
suportá-lo (GONÇALVES, 2012, p. 47). 

A responsabilidade objetiva, pautada na teoria do risco, estabelece que o agente 
causador do dano possui a obrigação de repará-lo, independentemente de culpa ou 
ilicitude de sua conduta, uma vez que obteve vantagens na atividade que gerou o dano. 
Assim, aquele que cria e expõe terceiros ao dano está sujeito à reparação, mesmo agindo 
dentro dos limites legais, uma vez que a teoria objetivista se alicerça diretamente no risco 
intrínseco à atividade exercida pelo agente, conforme destacado por Gagliano (2017). 

Fábio Ulhoa salienta que a responsabilidade objetiva não surge apenas da 
necessidade de tutela estatal diante das grandes indústrias. Essa categoria jurídica também 
emerge como resposta a uma mudança de mentalidade, na qual se compreende que os 
acidentes inevitáveis não devem ser suportados pelos cidadãos em prol dos benefícios de 
viver em sociedade. Ao contrário, quem obtém lucro com as atividades produtivas deve 


assumir os ônus pelos danos delas decorrentes, como explicitado por Ulhoa (2018, p. 528). 
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É racional imputar responsabilidade por danos a quem agiu exatamente como 
deveria ter agido quando o sujeito passivo da obrigação de indenizar ocupa 
posição econômica que lhe permita socializar os custos da sua atividade 
entre os beneficiários dela. Nessa posição encontram-se, por exemplo, os 
empresários, o Estado e as agências de seguro social (ULHOA, 2018, 528). 

Dessa forma, verifica-se que a responsabilidade civil objetiva pode advir tanto do 
risco inerente à atividade, conforme preconiza a teoria do risco, quanto da legislação. 
No que tange à responsabilidade civil objetiva oriunda de normas legais, esta decorre da 
regulamentação direta por parte da lei, especialmente em relação a atividades consideradas 
de risco ou em situações que envolvem desequilíbrio de poder entre as partes, como ocorre 
nas relações de trabalho e de consumo. 

Importa salientar que, mesmo no âmbito da responsabilidade civil objetiva, é possível 
abordar a questão da culpa em determinadas circunstâncias. Isso se manifesta nos casos 
em que o réu alega, por exemplo, o rompimento do nexo causal devido à culpa exclusiva da 
vítima ou à culpa concorrente, pois tal aspecto se configura como elemento essencial para 
a fixação da indenização. Nesse contexto, Gagliano realiza a análise pertinente ao tema: 


A diferença da responsabilidade civil objetiva para a subjetiva não está, 
portanto, na possibilidade de discutir culpa, mas, sim, na circunstância da 
culpa ser um elemento obrigatório de ônus da prova, pois, na responsabilidade 
civil subjetiva (seja de culpa provada ou de culpa presumida), o julgador tem 
de se manifestar sobre a culpa, o que somente ocorrerá acidentalmente na 
responsabilidade civil objetiva (2017, p. 836). 

Portanto, de acordo com o elucidado na passagem anterior, mesmo que a culpa 
esteja presente em ambas as modalidades de responsabilidade, a distinção reside no fato 
de que na responsabilidade subjetiva ela constituirá um elemento essencial, enquanto na 
objetiva será um elemento incidental. A norma geral da responsabilidade objetiva preconiza 
a obrigatoriedade de reparação do dano causado, independentemente da culpabilidade do 


agente causador. 
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DA PROTEÇÃO DE DADOS NA INTERNET 


Neste segmento, será discutido o advento da rede mundial de computadores 
(internet), traçando um panorama histórico da regulamentação de dados tanto no Brasil 
quanto no cenário global. Além disso, abordaremos a responsabilidade civil na esfera 
digital, com ênfase na violação de dados pessoais, e exploraremos como esse cenário 
propiciou o surgimento da Lei Geral de Proteção de Dados. O propósito é aprofundar as 
análises relacionadas à salvaguarda de informações pessoais no contexto da Internet. 


2.1 DO SURGIMENTO DA REDE MUNDIAL DE COMPUTADORES (INTERNET) 


O marco inicial da história da Internet remonta à Segunda Guerra Mundial, com a 
criação, em 1941, do primeiro computador totalmente eletrônico em Berlim, Alemanha. Este 
dispositivo foi inicialmente concebido para cálculos de aerodinâmica, balística e decifração 
de códigos criptografados. Quatro anos após, em Harvard, EUA, surgiu o precursor dos 
primeiros computadores comerciais. 

Durante a Guerra Fria, os investimentos significativos em tecnologia estabeleceram 
os computadores como ferramentas cruciais para comunicação e controle de informações. 
Na década de 60, cientistas do MIT desenvolveram a ARPANET, um sistema em rede para 
o Departamento de Defesa dos EUA, descentralizando o controle por meio da comunicação 
entre computadores. Em 1969, a primeira conexão em rede foi estabelecida entre a 
Universidade de Stanford e a UCLA, marcando um avanço notável (Lins, 2013, p.48). 

O ano de 1972 foi vital para a ARPANET, com a criação do email e a bem-sucedida 
demonstração durante a primeira International Conference on Computer Communications 
(ICCC), em Washington, EUA. A aplicação de troca de mensagens eletrônicas tornou-se a 
mais utilizada por mais de uma década. A demonstração da ARPANET nessa conferência 
comprovou a eficácia das redes de pacotes, impulsionando sua expansão internacional 
por meio de operadoras de telecomunicações e novas empresas. A ARPANET evoluiu para 
uma rede internacional (Carvalho, 2006). 

Com a internacionalização da ARPANET, surgiu a necessidade de interconectar 
diversas redes, o que foi viabilizado pelo desenvolvimento do conjunto de protocolos TCP/ 
IP. A ampla implementação do TCP/IP e a divisão da ARPANET em redes de pesquisa e 
produção aceleraram o advento da Internet civil (Carvalho, 2006). 

No início dos anos 80, a ARPANET continuava a ser uma rede que interligava 
apenas algumas universidades, sujeitas à aprovação militar e com capacidade financeira 
para investir em equipamentos de comunicação. Nesse cenário, a City University of New 
York (CUNY) inovou ao estabelecer a Because It's Time Network (BITNET), uma rede de 
comunicação por e-mail que buscava conectar pessoas de maneira simples, acessível e 
sem restrições de acesso. A BITNET proporcionava serviços como listas de transmissão, 


Da proteção de dados na internet 


13 


transferência de arquivos e mensagens instantâneas. Em uma década, a BITNET se tornou 
a maior rede em uso global, conectando mais de mil instituições de pesquisa em mais de 
cinquenta países, inclusive no Brasil (Carvalho, 2006). Foi assim que, em 1989, a Internet 
começou a ser implantada no Brasil para fins acadêmicos. 

A evolução da BITNET, juntamente com a criação do navegador (browser) e a 
popularização da World Wide Web, transformou a Internet, deixando de ser restrita ao 
âmbito acadêmico para se tornar acessível à população em geral, marcando o início da 
Internet comercial. Esse fenômeno resultou na ascensão da Internet como o principal meio 
de comunicação e informação, superando a televisão e os telefones convencionais em 
termos de alcance e disseminação. Esse processo também desencadeou a comercialização 
e privatização gradual da rede. 

Além disso, ao contextualizar a história internacional da Internet, especialmente 
nos Estados Unidos, que exerceu influência direta sobre o Brasil, é imperativo explorar 
aspectos históricos do desenvolvimento da Internet no contexto nacional. A transmissão 
de dados no Brasil teve seu início na década de 70, coincidindo com o aumento do uso de 
equipamentos de informática no país. Durante o regime militar, assim como ocorreu com a 
telefonia, a comunicação de dados tornou-se uma questão de Estado, visando aumentar a 
competitividade da indústria nacional e atender a objetivos estratégico-militares (Carvalho, 
2006). 

Nesse período, as instituições que necessitavam transmitir dados eram obrigadas a 
buscar soluções próprias, como o uso de redes telefônicas ou telex. Bancos, companhias 
de aviação, empresas multinacionais e alguns órgãos do governo federal recorriam a esses 
métodos. Em 1976, a Embratel realizou, de forma experimental, a instalação das primeiras 
linhas de transmissão digital entre Rio de Janeiro e São Paulo. Oficialmente inaugurado 
em 1980, o Serviço Digital de Transmissão de Dados via terrestre (TRANSDATA) atendia 
inicialmente trinta cidades (Carvalho, 2006). 

Assim como o ano de 1972 foi crucial para o desenvolvimento da Internet, o ano 
de 1984 marcou etapas importantes para a transmissão de dados no Brasil. Dois eventos 
notáveis foram a promulgação da Lei da Informática e o lançamento da Rede Nacional de 
Comunicação de Dados por Comutação de Pacotes (RENPAC). A Lei da Informática, como 
o primeiro instrumento normativo relacionado à Internet no país, estabeleceu princípios de 
capacitação tecnológica e reserva de mercado, ao mesmo tempo que instituiu o Conselho 
Nacional de Informática e Automação, democratizando o processo decisório sobre a 
comunicação em rede. Já a RENPAC, embora com adesão inicial limitada, foi a primeira 
rede pública de transmissão de dados por comutação de pacotes, destinada a atender a 
população. 

Embora tenha tido início como uma questão de Estado, a comunicação de dados 
despertou o interesse da comunidade acadêmica nacional. No entanto, a primeira rede 
acadêmica no Brasil só surgiu em 1989, com a chegada da BITNET ao país, resultando 
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na criação da Academic Network at São Paulo (ANSP). Essa iniciativa ocorreu devido ao 
monopólio das telecomunicações mantido pela Embratel, que impossibilitava a criação de 
uma rede nacional de comunicação de dados para atender toda a comunidade acadêmica. 
A Embratel proibia explicitamente o transporte de tráfego de terceiros nos circuitos dos 
clientes (Carvalho, 2006). 

A crescente utilização de microcomputadores nas organizações e residências 
intensificou o interesse na comunicação interpessoal por meio da interligação 
de computadores pessoais, impulsionando a demanda interna por redes. Com a 
regulamentação no final de 1988, as empresas operadoras do sistema Telebrás finalmente 
puderam oferecer alguns serviços e passaram a competir com a Embratel, proporcionando 
uma alternativa mais eficiente para a comunicação por dados. Dessa forma, a partir da 
década de 90, consolidou-se no Brasil a Internet comercial, destinada ao uso público e não 
mais restrita a fins acadêmicos e militares (Carvalho, 2006). 


2.2 HISTÓRICO DA REGULAMENTAÇÃO DE DADOS NO BRASIL E NO 
MUNDO 

O advento da Internet comercial e sua ampla inserção no cenário digital gerou novas 
dinâmicas nas relações jurídicas. Empresas, tanto virtuais quanto físicas, começaram a 
coletar diversos tipos de dados pessoais para a criação de cadastros de clientes e envio 
de mídias. Paralelamente, o governo passou a monitorar o fluxo virtual da população para 
tomada de decisões e controle. Esse contexto demandou do Direito a necessidade de 
encontrar meios para proteger a privacidade e a inviolabilidade dos dados da população, 
especialmente no que se refere às informações pessoais armazenadas na rede. 

Já na década de 1970, observamos os primeiros passos em direção à proteção de 
dados. Em 1970, foi promulgada a primeira lei estadual de proteção de dados na história, 
no estado alemão de Hesse. Posteriormente, em 1973, a Suécia aprovou o Ato de Dados 
Sueco, a primeira lei nacional de proteção de dados. Embora essas leis tratassem de 
forma genérica da proteção dos dados, sem especificar situações específicas de coleta, 
destacaram-se por colocar o tema da proteção de dados na agenda pública de governo 
(Monteiro et al., 2019). 

A onda de regulamentação de dados ganhou força na Europa, com países como 
Alemanha, Dinamarca e França desenvolvendo legislações específicas de proteção de 
dados em 1979. Essas leis reproduziram em grande medida os princípios estabelecidos 
na legislação sueca. A privacidade alcançou tamanha relevância que algumas nações, 
incluindo Áustria, Espanha e Portugal, passaram a considerá-la um direito fundamental em 
suas Constituições (Monteiro et al., 2019). 

Em 1981, foi aprovada a Convenção 108, o primeiro marco legal transnacional 
sobre proteção de dados. A convenção foi posteriormente atualizada, resultando na versão 


Da proteção de dados na internet 


15 


conhecida como Convenção 108+7. Em 1995, a União Europeia promulgou a Diretiva 
95/46/CE, um marco na proteção de dados ao uniformizar a legislação sobre tratamento 
de dados e direitos dos usuários nos países membros. Essa diretiva vigorou até maio 
de 2018, quando foi substituída pelo Regulamento nº 2016/679, de 27 de abril de 2016, 
popularmente conhecido como General Data Protection Regulation (“GDPR”, a Lei Geral 
de Proteção de Dados da União Europeia (Monteiro et al., 2019). 

O GDPR é considerado um avanço significativo na legislação de proteção de dados, 
abrangendo todos os países que se conectam ao mercado europeu, além de proteger os 
direitos dos usuários e aumentar a responsabilização das organizações que realizam o 
tratamento de dados. 

Na América do Sul, alguns países, como Argentina, Chile, Colômbia, Peru, Uruguai 
e Paraguai, já contavam com leis gerais para a proteção de dados, mesmo anteriormente 
à implementação do GDPR. O Brasil, por sua vez, passou a integrar esse grupo com a 
aprovação da Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral 
de Proteção de Dados (LGPD). Vale destacar que Equador, Bolívia, Venezuela e Guiana 
possuem apenas leis setoriais sobre proteção de dados (Monteiro et al., 2019). 

Essa nova geração de leis eleva o padrão coletivo de proteção, uma vez que, por 
meio de técnicas específicas, fortalece a posição da pessoa natural em detrimento das 
entidades processadoras de dados. Essas leis reconhecem o desequilíbrio na relação 
jurídica, indicando que medidas voltadas apenas para o reconhecimento do direito à 
autodeterminação informativa não seriam suficientes (Doneda, 2011, p. 98). Nesse mesmo 
contexto, também evidenciam outras técnicas legislativas empregadas para tornar os 
novos ordenamentos de proteção de dados mais eficazes na salvaguarda dos direitos dos 
cidadãos. 


Outra técnica é, paradoxalmente, a própria redução do papel da decisão 
individual de autodeterminação informativa. Isso ocorre por conta do 
pressuposto de que determinadas modalidades de tratamento de dados 
pessoais necessitam de uma proteção no seu mais alto grau, que não pode 
ser conferida exclusivamente a uma decisão individual —- como é o caso para 
certas modalidades de utilização de dados sensíveis. Outra característica é a 
disseminação do modelo das autoridades independentes para a atuação da 
lei — tanto mais necessária com a diminuição do poder de “barganha” com 
o indivíduo para a autorização ao processamento de seus dados,e também 
o surgimento de normativas conexas na forma, por exemplo, de normas 
específicas para alguns setores de processamento de dados (para o setor de 
saúde ou de crédito ao consumo) (DONEDA, 2011, p. 98). 


Esta nova geração de leis sobre proteção de dados, representada pela GDPR na 
União Europeia e pela LGPD no Brasil, estabelece uma abordagem mais específica para o 
tratamento de dados sensíveis. Elas endossam a implementação de legislações setoriais 
para diferentes segmentos de processamento de dados, proporcionando um modelo 
jurídico mais abrangente e refinado. 
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No contexto brasileiro, a trajetória legislativa rumo à Lei Geral de Proteção de Dados 
(LGPD), promulgada em 2018, revela um histórico que se estende desde os primeiros 
anos da comunicação em rede no país. Inicialmente, a responsabilidade pela proteção das 
informações pessoais residia no próprio indivíduo, configurando um sistema de autotutela, 
onde cada pessoa era responsável por decidir quais dados compartilhar. 

O direito à privacidade, consagrado na Constituição Federal de 1988, foi por muito 
tempo o principal fundamento para decisões judiciais e posicionamentos doutrinários 
relacionados às informações pessoais na internet. O Código de Defesa do Consumidor, em 
1990, trouxe disposições mais específicas sobre o uso de dados pessoais, especialmente 
em bancos de dados cadastrais. O CDC garantiu o acesso à informação sobre o uso de 
dados, estabeleceu a possibilidade de correção e tipificou infrações, como impedir ou 
dificultar o acesso do consumidor aos seus dados pessoais e negligenciar a atualização 
quando incorretos. 

O habeas data, instrumento que viabiliza o acesso e alteração dos dados em 
cadastros de consumo e em posse de entidades privadas e governamentais, representa um 
avanço, embora os mecanismos de tutela de dados pessoais ainda enfrentem desafios de 
efetividade, especialmente quando o cidadão tem pouco controle sobre suas informações 
uma vez disponibilizadas online. Em relação à eficácia da tutela prevista no CDC, o 
professor Leonardi aponta desafios significativos. 


Como exemplo, a possibilidade de um consumidor impetrar habeas data com 
essa finalidade esbarra em uma série de dificuldades práticas, processuais 
e econômicas. 1) Na maioria dos casos, o consumidor não é informado da 
abertura de cadastro em seu nome, notadamente quando se trata do registro 
de informações de uso restrito do fornecedor que não são divulgadas 
a terceiros; 2) Como se destacou anteriormente, o consumidor deve 
primeiramente solicitar providências a respeito de seus registros — acesso, 
retificação ou complementação — a quem mantém o banco de dados ou o 
cadastro. Somente é possível a impetração de habeas data se houver recusa 
ou demora injustificada no atendimento dessa solicitação. É simples notar 
que alguns consumidores ou usuários de Internet sequer saberão efetuar tal 
solicitação por conta própria, [...]; 3) O consumidor que precisar impetrar 
habeas data terá que arcar com os custos inerentes a essa ação judicial 
(2011, p. 204). 


Com o intuito de regulamentar mais do que as relações de consumo virtuais e tendo 
em vista que pelos motivos citados acima, o Código de Defesa do Consumidor precisava 
de um ato normativo específico relacionado a Internet. 

Em 2011, a Lei do Cadastro Positivo (Lei nº 12.414, de 9 de junho de 2011) foi 
sancionada com o objetivo de disciplinar a formação e consulta a bancos de dados, de 
pessoas naturais jurídicas, para elaboração de histórico de crédito. A inovação trazida na 
referida lei foi a possibilidade de os titulares gerirem seus bancos de dados pessoais, bem 
como a maior proteção concedida aos dados pessoais sensíveis. Nesse sentido, Bruno 
Bioni estabelece que: 
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Essa nova peça legislativa setorial acabou por trazer, de uma forma original 
e mais sistematizada, a orientação de que o titular dos dados pessoais deve 
ter o direito de gerenciá-los. Nesse sentido, requer-se mais do que a simples 
comunicação da abertura do banco de dados, tal como fez a legislação 
consumerista. Exige-se o consentimento do titular dos dados pessoais que 
deve ser, por seu turno, informado e externado por meio de assinatura em 
um instrumento específico ou em cláusula apartada. Essa esfera de controle 
deve se prolongar, inclusive, para os casos de compartilhamento da base 
de dados com terceiros, hipótese na qual deverá haver um consentimento 
específico para tanto. 


Esse arranjo é complementado, ainda, pelo dever de o gestor da base de 
dados não coletar informações excessivas e sensíveis para fins de análise de 
crédito, bem como de não as utilizar para outra finalidade que não a creditícia. 
Com tais limitações, tal quadro normativo limita a coleta e as finalidades de 
tratamento dos dados pessoais com o intuito de capacitar o consumidor com 
o controle de suas informações pessoais (2019, p. 125). 

Apesar dos avanços trazidos pela Lei do Cadastro Positivo, ainda se fazia necessário 
aparato jurídico que tutelasse a responsabilidade civil na Internet de maneira mais ampla 
e genérica. 

A promulgação do Marco Civil da Internet (Lei nº 12.965/2014) em 2014 representou 
um marco significativo no Brasil, estabelecendo princípios, garantias, direitos e deveres 
para o uso da internet no país. Enquanto a esfera penal já era abordada pela Lei nº 
12.737/012, que trata da tipificação criminal de delitos informáticos, o Marco Civil teve 
como foco principal a regulação das relações jurídicas na esfera civil. 

O Marco Civil da Internet foi uma resposta importante à necessidade de um arcabouço 
jurídico que abrangesse aspectos diversos das interações online. No entanto, é observado 
que essa legislação, embora tenha abordado amplamente questões civis relacionadas à 
internet, não se aprofundou de maneira específica na proteção da privacidade por meio 
da normatização do uso de bancos de dados. Nesse contexto, é válido destacar que o 
ordenamento jurídico brasileiro carecia de uma regulamentação mais abrangente para 
tutelar a responsabilidade civil na internet antes da implementação do Marco Civil da 
Internet. 


A princípio, o Marco Civil não parece ser voltado para proteger o indivíduo 
das múltiplas formas de violação da privacidade decorrentes de formação 
de bases de dados que não estão disponíveis online, ou não tenham outra 
relação direta com a Internet.[...] Em favor do Marco Civil, pode-se argumentar 
corretamente que a defesa da privacidade dificilmente será objeto de uma 
lei única. Afinal, trata-se de um bem jurídico que guarda relações diretas ou 
reflexas com múltiplos aspectos da vida e com todos os ramos do Direito. 
E pode-se dizer que o Marco Civil foi bastante feliz em várias de suas 
disposições acerca do tema, que se mostram oportunas para a preservação 
da privacidade, ao menos, como já dito, diante dos fatos relacionados à 
Internet (2016, p. 54). 
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Desse modo, o Marco Civil não chegou a delimitar prerrogativas específicas no 
que que tange o uso e compartilhamento indevido de dados pessoais coletados, ou à sua 
utilização para fins diferentes dos inicialmente propostos. Assim, a utilização de banco de 
dados pessoais só prevista em algum dispositivo legal em 2018, com a edição da Lei Geral 
de Proteção de Dados. 


2.3 RESPONSABILIDADE CIVIL NA INTERNET E VIOLAÇÕES AOS DADOS 


Atualmente, a Internet desempenha um papel fundamental, transcendendo sua 
função original de ferramenta de comunicação e informação para se tornar um elemento 
central nas esferas política, econômica e social. O ambiente virtual não apenas facilita a 
troca de informações, mas também se estabeleceu como um espaço vital para interações 
políticas, econômicas e sociais. Em muitos casos, as interações online se tornaram tão 
prevalentes que chegam a substituir as interações presenciais, conferindo à Internet uma 
presença onipresente na vida das pessoas. 

Apesar dos inúmeros benefícios proporcionados pelo surgimento da Internet, 
surge uma considerável dificuldade em estabelecer de maneira eficaz e abrangente os 
fundamentos jurídicos que regem as relações derivadas desse meio. Nesse contexto, 
Marcacini destaca a complexidade e os desafios associados à salvaguarda jurídica 
das interações online. Esse cenário evidencia a necessidade constante de adaptação 
e desenvolvimento do arcabouço jurídico para enfrentar as dinâmicas e complexidades 
emergentes no ambiente digital. 


Como representa um conjunto global de redes de computador interconectadas, 

não existe nenhum governo, organismo internacional ou entidade que exerça 

controle ou domínio absoluto sobre a Internet. A regulamentação da rede 

é efetuada dentro de cada país, que é livre para estabelecer regras de 

utilização, hipóteses de responsabilidade e requisitos para acesso, atingindo 

apenas os usuários sujeitos à soberania daquele Estado. Como forma 

de impedir, investigar e reprimir condutas lesivas na rede, são por vezes 

necessários esforços conjuntos de mais de um sistema jurídico, dependendo 

da localização dos infratores e dos serviços por eles utilizados (2016, p. 70). 

Inicialmente, a responsabilidade civil concentrou-se nas relações de consumo, 

especialmente porque foram as primeiras a serem impactadas pelo surgimento das 

comunicações em rede. Dessa forma, a proteção inicial abrangeu as relações entre os 

provedores de Internet e os usuários, evoluindo posteriormente para englobar as transações 

de comércio eletrônico, isto é, a venda de produtos ou a prestação de serviços realizados 

virtualmente ou por meio da internet. O aumento significativo do comércio eletrônico gerou 

a necessidade de estabelecer a responsabilidade civil no âmbito dos direitos autorais e do 
compartilhamento de informações virtuais. 

No que diz respeito à responsabilidade civil decorrente da relação entre provedores 


e usuários, é crucial inicialmente diferenciar os tipos de provedores para uma compreensão 
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mais aprofundada do tema. Os provedores de serviços de Internet podem ser classificados 
como de backbone, que fornecem conectividade (como a Embratel); de acesso, que 
possibilitam a conexão à Internet (operadoras de telefonia); de hospedagem, que oferecem 
plataformas para uso específico (como Blogger, Facebook, Locaweb); de conteúdo, que 
disponibilizam informações na Internet; e de correio eletrônico, que permitem o envio de 
mensagens (Marcacini, 2016). 

No que concerne à responsabilidade civil dos provedores de serviços de Internet, há 
divergências tanto na jurisprudência quanto na doutrina. Juristas como Tartuce, Guilherme 
Magalhães, Patrícia Peck Pinheiro, Renato Opice Blum e Marcos Gomes Bruno argumentam 
que o eventual dever de indenizar decorrente de condutas no ambiente virtual está sujeito 
à aplicação da cláusula geral de responsabilidade objetiva. Esses juristas sustentam que 
a maioria das atividades no contexto virtual envolve riscos para terceiros, assemelhando- 
se ao regime de responsabilidade por danos atribuído aos fornecedores de serviços pelo 
Código de Defesa do Consumidor (TARTUCE, 2018). 

Por outro lado, Marcel Leonardi defende que a responsabilidade civil é subjetiva, 
fundamentando seu posicionamento na pacificação pelo Superior Tribunal de Justiça e 
na ausência de reconhecimento internacional da responsabilidade civil objetiva para 
intermediários online. Além disso, essa é também a interpretação prevista no Marco Civil 


da Internet, conforme consta nos artigos 18 e 19 da Lei nº 12.965/2014. 


Art. 18. O provedor de conexão à internet não será responsabilizado civilmente 
por danos decorrentes de conteúdo gerado por terceiros. 


Art. 19. Com o intuito de assegurar a liberdade de expressão e impedir 
a censura, o provedor de aplicações de internet somente poderá ser 
responsabilizado civilmente por danos decorrentes de conteúdo gerado por 
terceiros se, após ordem judicial específica, não tomar as providências para, 
no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, 
tornar indisponível o conteúdo apontado como infringente, ressalvadas as 
disposições legais em contrário. 

Ainda persistem divergências na doutrina e variações na aplicação dos dispositivos 
nas decisões jurisprudenciais; no entanto, é possível observar que o Marco Civil da Internet 
adotou a teoria da responsabilidade subjetiva nas relações virtuais. 

Quanto à proteção de dados pessoais no ambiente virtual, o Marco Civil da Internet 
não abordou o tema de maneira específica. Antes da entrada em vigor da Lei Geral de 
Proteção de Dados (LGPD), o princípio fundamental que orientava o tratamento de dados 
pessoais era o da transparência, preconizando que o processamento das informações 
deveria ser revelado, não mantido em segredo, para garantir a necessária publicidade 
(Leonardi, 2011). 

O tratamento legislativo anteriormente existente sobre a temática limitava-se aos 
dispositivos constitucionais relacionados à proteção à intimidade (art. 5º, X, CF/1988), ao 
direito ao sigilo de comunicações e dados (art. 5º, XII, CF/1988), ao direito à informação 
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(art. 5º, XIV, CF/1988) e à garantia individual ao conhecimento e correção de informações 
sobre si por meio do habeas data (art. 5º, LXXII, CF/1988). 

Diante da ausência de legislação específica, a doutrina desempenhava um papel 
fundamental na definição de conceitos essenciais para a resolução de conflitos. No entanto, 
não havia consenso entre os doutrinadores, nem uma uniformização de entendimentos 
sobre se a responsabilidade civil decorrente da internet era objetiva ou subjetiva, o que 
se refletia diretamente na jurisprudência. Mesmo após a promulgação do Marco Civil da 
Internet, casos surgiram nos quais a jurisprudência mitigou sua aplicação em relação à 
responsabilidade civil, sendo mais favorável aos consumidores que tiveram algum direito 
lesado na esfera virtual. Além disso, alguns doutrinadores mantiveram-se contestando sua 
aplicabilidade (Tartuce, 2018). 

Segundo Leonardi (2011, p. 325), a principal problemática relacionada aos dados 
pessoais no ambiente virtual é a “disseminação de arquivos utilizados por provedores para 
analisar as atividades dos usuários da rede (cookies ou web bugs) ou para coletar dados de 
mercado (data mining)”. Essa prática, quando realizada sem o consentimento do usuário, 
é considerada antiética, viola o princípio da transparência e prejudica a privacidade do 
usuário. 

Com o aumento das demandas causadas pela proliferação de aplicativos e casos de 
vazamento de dados, a prática de data mining tornou-se ainda mais frequente, e as questões 
relacionadas à utilização de dados sensíveis, processamento de dados e responsabilidade 
dos gestores de dados passaram a ganhar mais destaque no cenário jurídico. 

Antes da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), não havia 
consenso na doutrina quanto à definição de dados pessoais, o que dificultava a extensão 
da proteção a esses dados. É importante destacar que a proteção desses dados sempre foi 
crucial, uma vez que se referem a dados nominativos, ou seja, não anônimos, podendo ser 
associados à pessoa detentora dos dados. Esses dados se relacionam com elementos que 
fazem parte da esfera mais restrita da intimidade do indivíduo (Leonardi, 2011), destacando 
a necessidade de uma tutela adequada para garantir a privacidade dos usuários da rede. 

A natureza da responsabilidade do gestor de dados pessoais foi um tema que 
gerou intensa discussão na doutrina e jurisprudência. A doutrina consumerista defendia 
a aplicação da responsabilidade objetiva, argumentando que a falha no dever de cuidado 
na abertura e manutenção de cadastros e bancos de dados era um fato do serviço do 
consumo. No entanto, parte da doutrina sustentava a necessidade de distinguir entre os 
danos causados pelos usuários dos bancos de dados e cadastros dos consumidores, nos 
quais se configuraria a responsabilidade objetiva, e os danos causados pelos gestores 
dos bancos de dados, nos quais haveria uma responsabilidade com culpa presumida por 
quebra dos deveres de cuidado decorrentes do princípio geral de boa-fé. 

Com o objetivo de superar as controvérsias relacionadas à proteção de dados 
sensíveis, ao tratamento de dados e à responsabilidade do controlador, a LGPD foi 
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promulgada. A Lei nº 13.709/18 surgiu como resposta aos diversos casos de vazamento 
de dados ocorridos no âmbito nacional e internacional, regulando o processamento de 
qualquer banco de dados, seja virtual ou físico, e aplicando-se a empresas e instituições 
públicas. Representando um marco na tutela do direito à privacidade no Brasil, a LGPD 
busca proporcionar uma proteção mais robusta aos dados pessoais e estabelecer diretrizes 


claras para o tratamento dessas informações. 
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RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE 
DADOS 


A Lei Geral de Proteção de Dados (LGPD), instituída pela Lei n° 13.709/18, representa 
um marco normativo no Brasil, estabelecendo diretrizes e regras para o tratamento de 
dados pessoais. Este capítulo se propõe a analisar a composição da LGPD, explorando 
suas disposições e especificidades relativas ao manejo de dados pessoais. Além disso, 
será dedicado um enfoque especial à incidência do instituto da responsabilidade civil na 
LGPD, contemplando tanto a esfera do direito público quanto a do direito privado. 

Para realizar essa análise, adotaremos a perspectiva do diálogo das fontes, 
que pressupõe a interação harmoniosa da LGPD com as demais leis que compõem o 
ordenamento jurídico brasileiro. Esse enfoque permite compreender como a LGPD se 
relaciona com outras normativas, respeitando e contribuindo para a coerência e unidade do 
sistema jurídico nacional. Essa abordagem se revela fundamental para uma compreensão 
abrangente do papel da LGPD no cenário legal brasileiro e para esclarecer como ela 
influencia as dinâmicas de responsabilidade civil, tanto no âmbito público quanto no privado. 


3.1 DISPOSIÇÕES GERAIS SOBRE A LGPD E O TRATAMENTO DE DADOS 
PESSOAIS 

A Lei Geral de Proteção de Dados (LGPD), regulamentada pela Lei nº 13.709/2018, 
ostenta como desiderato primordial a salvaguarda dos direitos fundamentais de liberdade, 
privacidade e autodeterminação informativa da pessoa natural no tocante ao tratamento de 
dados pessoais, abarcando tanto o universo analógico quanto o digital, e incidindo sobre 
entidades de natureza pública ou privada, seja de direito público ou privado. 

Em uma interpretação textual da norma, constata-se que a proteção inicialmente se 
circunscreve à pessoa natural. Contudo, insta ressaltar que há controvérsias sobre a viabilidade 
de estender essa salvaguarda às pessoas jurídicas. Esse debate encontra respaldo no artigo 52 
do Código Civil, que prevê a aplicação, no que couber, da proteção dos direitos da personalidade 
às pessoas jurídicas. Ademais, eventual transgressão ao direito da personalidade, decorrente 
do tratamento indevido de dados, enseja a possibilidade de dano moral, o qual também pode 
acometer pessoas jurídicas, segundo a Súmula 227 do STJ. 

Os fundamentos da LGPD, delineados no artigo 2º, abrangem o respeito à privacidade, 
a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade 
da intimidade, honra e imagem, o desenvolvimento econômico e tecnológico, a inovação, 
a livre iniciativa, a livre concorrência, a defesa do consumidor, os direitos humanos, a 
dignidade e o exercício da cidadania pelas pessoas naturais, além da autodeterminação 


informativa. 
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A autodeterminação informativa se erige como inovação de monta introduzida 
pela LGPD. Tal mecanismo visa assegurar o direito à privacidade, conferindo à pessoa 
natural o controle sobre informações atinentes a si mesma. Nesse diapasão, a privacidade 
transcende sua vertente negativa, consistente na não interferência em esfera individual, 
adquirindo uma feição positiva e proativa, garantindo ao titular o pleno conhecimento das 
práticas de tratamento, finalidade e destinação de seus dados. 

No que concerne à territorialidade, a LGPD incide em três hipóteses: quando a 
operação de tratamento ocorre no território nacional, quando o tratamento objetiva a 
oferta de bens ou serviços ou o tratamento de dados de indivíduos localizados no território 
nacional, e quando os dados pessoais objeto do tratamento foram coletados no território 
nacional. 

De forma complementar, o artigo 33 da LGPD estabelece as condições para 
a transferência internacional de dados pessoais, permitindo-a para organizações 
internacionais que ofereçam igual nível de proteção da LGPD, mediante autorização da 
autoridade nacional, para proteção da integridade física do titular ou de terceiros, mediante 
consentimento específico do titular, para a execução de contrato do qual o titular seja parte, 
a pedido deste, e para o exercício regular de direitos em processos judiciais, administrativos 
ou arbitrais. 

A transferência internacional de dados nos termos da LGPD apresenta nuances 
específicas, autorizando-a sem consentimento do controlador em determinadas situações. 
Destacam-se transferências vinculadas a compromissos assumidos em acordos de 
cooperação internacional, necessárias para cooperação jurídica internacional, execução 
de política pública ou atribuição legal do serviço público, desde que haja publicidade. Para 
o controlador, é imprescindível comprovar garantias de conformidade com o regime de 
proteção de dados da LGPD, podendo utilizar contratos, normas corporativas, certificações 
ou código de conduta. Adicionalmente, a transferência é admitida para cumprir obrigação 
legal ou regulatória e quando respaldada por instrumentos de direito internacional. 

Cumpre salientar que a própria LGPD, em seu artigo 4º, delineia os casos de não 
aplicação da lei. Isso abrange situações em que o tratamento é realizado por pessoa natural 
para fins exclusivamente particulares, não econômicos, ou para finalidades estritamente 
jornalísticas, artísticas ou acadêmicas, desde que com consentimento. Excluem-se ainda 
os casos de tratamento de dados pessoais para atividades de segurança pública, defesa 
nacional, segurança do Estado ou repressão de infrações penais, por entidades de direito 
público ou privado sob a tutela de pessoa jurídica de direito público. 

No contexto da LGPD, o tratamento de dados é definido, conforme o artigo 5º, inciso 
X, como qualquer operação realizada com dados pessoais, englobando, entre outras, a 
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, 
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou 
controle da informação, modificação, comunicação, transferência, difusão ou extração. 
Veja-se: 
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Art. 5º Para os fins desta Lei, considera-se: 


X - Tratamento: toda operação realizada com dados pessoais, como as que 
se referem a coleta, produção, recepção, classificação, utilização, acesso, 
reprodução, transmissão, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação ou controle da informação, 
modificação, comunicação, transferência, difusão ou extração; 

Adistinção entre dado e informação, conforme exposto por Bruno Bioni (2019), ressalta 
que dados são fatos brutos que, ao serem processados e organizados, se transformam 
em algo intangível, podendo ser extraída uma informação. Com a promulgação da Lei 
Geral de Proteção de Dados (LGPD), o tratamento de dados passa a ser condicionado ao 
atendimento das hipóteses previstas no artigo 7º da referida legislação. 

O consentimento, como abordado pela LGPD, é considerado um elemento essencial 
para o tratamento de dados. A definição adotada pela lei, conforme o artigo 5º, inciso XII, 
destaca que o consentimento é uma manifestação livre, informada e inequívoca pela qual o 
titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. 
A falta ou vício de consentimento compromete a validade do tratamento. 

A LGPD estabelece que o consentimento deve referir-se a finalidades determinadas, 
tornando nulas as autorizações genéricas para o tratamento de dados pessoais. Para 
assegurar a inequivocidade da manifestação de vontade, a lei determina que o consentimento 
deve ser fornecido por escrito, constando de cláusula destacada das demais cláusulas 
contratuais. O controlador assume o ônus da prova de que o consentimento foi obtido em 
conformidade com a legislação (artigo 8º da Lei nº 13.709/18). 

A nulidade do consentimento ocorre se as informações fornecidas ao titular forem 
enganosas, abusivas, ou se não forem apresentadas previamente com transparência, 
de forma clara e inequívoca. Adicionalmente, em caso de mudanças na finalidade para o 
tratamento de dados pessoais incompatíveis com o consentimento original, o controlador 
deve informar previamente o titular sobre essas alterações, permitindo que o titular revogue 
o consentimento se discordar das mudanças (artigo 10 da Lei nº 13.709/18). 

Nas relações de consumo, a manifestação livre do consentimento ocorre nos casos 
em que o usuário pode acessar o produto ou serviço mesmo sem fornecer dados. Em 
situações contrárias, é necessário que o titular forneça seu consentimento específico. O 
consentimento, nesse contexto, vai além de um aspecto meramente informativo, adquirindo 
caráter expresso no momento em que as cláusulas contratuais são destacadas, exigindo 
um aceite específico do titular (KLEE; NETO; 2019). Veja-se: 


Nas relações de consumo, essa ideia deve ser observada desde a concepção 
do serviço ou do produto a ser ofertado, configurando o que se convencionou 
chamar de privacy by design. Isso porque, inexistindo finalidade clara e 
adequação da coleta, o tratamento poderá ser considerado abusivo; ii) 
adequação do tratamento dos dados à sua finalidade (os dados coletados 
deverão ser utilizados apenas para as finalidades específicas devidamente 
informadas aos titulares); iii) privacy by default, ou privacidade por padrão, 
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segundo o que o consentimento não é mais a única forma de legitimar o 
tratamento de dados, conforme se depreende da leitura do art. 7º da LGPD 
(KLEE; NETO; 2019, p. 14). 

Klee e Neto abordam o conceito de “privacy by design”, destacando que a coleta de 
dados deve ter uma finalidade prévia essencial para a prestação de serviços, exigindo um 
planejamento inicial que evite excessivas perguntas ao consumidor durante a aquisição 
de produtos ou serviços. Além disso, a Lei Geral de Proteção de Dados (LGPD) introduz 
o conceito de “privacy by default”, permitindo o tratamento legítimo de dados, mesmo sem 
consentimento. 

Os casos em que ocorre dispensa de consentimento, conforme previstos no artigo 7º 
da LGPD, envolvem situações específicas de interesse privado, tais como o cumprimento 
de obrigação legal ou regulatória pelo controlador, a realização de estudos por órgão de 
pesquisa, a execução de contrato a pedido do titular, o exercício regular de direitos em 
processos judiciais, administrativos ou arbitrais, a proteção da vida ou da integridade 
física do titular ou de terceiros, a tutela da saúde em procedimentos de serviços de saúde 
ou autoridades sanitárias, a proteção do crédito, e a defesa de interesses legítimos do 
controlador ou de terceiros. 

Nos casos em que ocorre o tratamento de dados manifestamente públicos pelo 
titular, também é dispensada a exigência de consentimento, desde que seja considerada 
a finalidade, a boa-fé e o interesse público que justificaram a disponibilização desses 
dados. Entretanto, a dispensa de consentimento não exime os agentes de tratamento 
das demais obrigações previstas na LGPD, especialmente a observância dos princípios 
gerais e a garantia dos direitos do titular. Bruno Bioni ressalta a importância desse enfoque, 
destacando: 


Por exemplo, a princípio, terceiros não poderiam usar dados de uma rede 
social, mesmo que de perfis públicos, para fins de marketing - instâncias 
pelas quais tais dados foram tornados públicos pelo seu próprio titular deram- 
se para uma outra finalidade, que é a de se relacionar com quem integra o 
seu círculo social. 


Por outro lado, a princípio, seria compatível o uso de dados de perfis públicos 
de uma rede profissional (e.g., Linkedin) por terceiros, como headhunters, 
para aproximar seus usuários às vagas profissionais de seu eventual interesse. 
Esse uso é compatível com a finalidade não só da plataforma em si, como, 
principalmente, a razão pela qual tais dados são públicos. 


Portanto, as figuras de dados de acesso público e manifestamente público, 
além de estarem dentro do escopo de aplicação da LGPD, também estão 
sujeitas a um regime que impõe uma série de requisitos para o seu tratamento 
à luz do referencial da privacidade contextual. O caráter pedagógico dessa 
taxonomia é não deixar dúvidas de que tais tipos de dados não deixam de 
ser pessoais, rompendo com a chave binária do público privado. E, por fim, 
assegurar uma esfera de controle por parte dos titulares dos dados, ainda que 
não haja o seu consentimento para tanto (2019, p.265). 
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No âmbito da Lei Geral de Proteção de Dados (LGPD), a publicidade de dados 
pessoais não exime a necessidade de concordância entre a utilização desses dados e a 
finalidade para a qual foram tornados públicos. Essa exigência visa garantir a privacidade 
dos titulares, permitindo que estes tornem públicas as informações de sua escolha sem 
preocupações sobre possíveis impactos indesejados em sua esfera privada. 

Em relação aos dados pessoais sensíveis, definidos pela LGPD como informações 
não anonimizadas relacionadas à origem racial ou étnica, convicção religiosa, opinião 
política, filiação a sindicato, saúde, vida sexual, dados genéticos ou biométricos, esses 
dados não podem ser objeto de legítimo interesse do controlador, salvo em situações 
que dispensam o consentimento. Essas situações incluem, entre outras, a prevenção de 
fraudes, segurança do titular, identificação e autenticação em sistemas eletrônicos, desde 
que não prevaleçam os direitos fundamentais do titular (art. 11). 

A LGPD veda expressamente a comunicação ou compartilhamento entre 
controladores de dados pessoais sensíveis relacionados à saúde com o intuito de obter 
vantagem econômica, exceto em casos específicos, como a prestação de serviços de 
saúde, assistência farmacêutica, assistência à saúde em benefício dos titulares de dados, 
portabilidade de dados quando solicitada pelo titular, e para permitir transações financeiras 
e administrativas resultantes do uso e prestação de serviços (art. 11, 849). 

Operadoras de planos privados de assistência à saúde estão proibidas de tratar 
dados de saúde para seleção de riscos na contratação ou exclusão de beneficiários, mas 
são autorizadas a comunicar dados pessoais a órgãos de pesquisa, desde que esses dados 
sejam tratados internamente no órgão, estritamente para fins de estudos e pesquisas, 
adotando anonimização ou pseudonimização sempre que possível e respeitando padrões 
éticos (art. 13). 

O tratamento de dados pessoais de crianças e adolescentes requer consentimento 
específico de um responsável legal, exceto quando a coleta for necessária para contatar 
o responsável ou para a proteção da criança. Em qualquer caso, os controladores devem 
manter informações sobre os dados coletados acessíveis aos pais e compreensíveis para 
a criança, não condicionando a participação destas ao fornecimento de informações além 
do estritamente necessário à atividade (art. 14). 

O término do tratamento de dados pessoais pode ocorrer com o alcance da finalidade, 
verificação de que os dados não são mais necessários, fim do período de tratamento, 
determinação da autoridade nacional ou revogação do consentimento pelo titular, que pode 
ser feita a qualquer momento de forma gratuita e facilitada. Após o término, os dados devem 
ser eliminados, salvo em casos de cumprimento de obrigação legal ou regulatória, estudo 
por órgão de pesquisa, transferência a terceiros com requisitos de tratamento respeitados, 
uso exclusivo do controlador com anonimização dos dados, e vedado o acesso por terceiros 
(art. 15). 
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3.2 DA RESPONSABILIDADE CIVIL DO PODER PÚBLICO NO TRATAMENTO 
DE DADOS PESSOAIS 

A Lei Geral de Proteção de Dados (LGPD) estabelece tratamento diferenciado para 
o Poder Público, abrangendo órgãos públicos da administração direta e indireta, notários 
e registradores privados, empresas públicas e sociedades de economia mista em regime 
de concorrência. Os serviços notariais e de registro, quando exercidos por entidades 
privadas por delegação do Poder Público, devem seguir as mesmas diretrizes aplicadas às 
pessoas jurídicas de direito público, incluindo o fornecimento de acesso aos dados para a 
administração pública (art. 23, 84º e 85º, da LGPD). 

Empresas públicas e sociedades de economia mista em regime de concorrência 
têm tratamento similar ao das pessoas jurídicas de direito privado, exceto quando estão 
operacionalizando políticas públicas, momento em que recebem o mesmo tratamento 
dispensado aos órgãos e entidades do Poder Público (art. 24). 

O tratamento de dados pessoais pelo Poder Público, conforme o artigo 23 da LGPD, 
deve ocorrer para atender sua finalidade pública, buscando o interesse público e executando 
competências e atribuições legais do serviço público. Para garantir a transparência, é 
necessário divulgar, em meios de fácil acesso, a previsão legal, finalidade, procedimentos 
e práticas utilizadas para o tratamento de dados, além de indicar um encarregado para 
essas operações. 

A LGPD proíbe o compartilhamento de dados pessoais pelo Poder Público com 
entidades privadas, exceto em casos específicos, como execução descentralizada de 
atividade pública, acesso público aos dados, previsão legal ou respaldo em contratos. A 
transferência deve objetivar a prevenção de fraudes ou resguardar a segurança do titular, 
vedado o tratamento para outras finalidades (art. 26, 81º). 

No que diz respeito ao tratamento de dados pessoais sensíveis pelo Poder Público, 
mesmo sem consentimento, é necessário dar publicidade à dispensa, informando os 
titulares sobre o uso de seus dados (art. 11, 82º). 

É importante ressaltar que a LGPD não se aplica em casos de segurança pública, 
defesa nacional, segurança do Estado ou atividades de investigação e repressão de 
infrações penais. Nessas situações, embora a LGPD não incida, a administração pública 
deve respeitar os princípios constitucionais e outras legislações pertinentes (ROSSO, 
2019). 

A responsabilidade civil do Estado, delineada no ordenamento jurídico, adota 
um caráter objetivo. Tanto a Constituição Federal, no art. 37, 8 6º, ao afirmar que “as 
pessoas jurídicas de direito público e as de direito privado prestadoras de serviços públicos 
responderão pelos danos que seus agentes, nessa qualidade, causarem a terceiros”, 
quanto o Código Civil, em seu art. 43, reforçam essa premissa. 
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O princípio da responsabilidade civil objetiva do Estado estabelece que as entidades 
governamentais, assim como aquelas que executam serviços públicos, são responsáveis 
pelos danos provocados por seus agentes no exercício de suas funções, independente da 
demonstração de culpa. A comprovação do nexo causal entre a conduta do agente público 
e o dano sofrido pelo terceiro é suficiente para configurar a responsabilidade estatal. 

Essa abordagem encontra respaldo nas teorias que fundamentam a responsabilidade 
civil objetiva, destacando-se a Teoria do Risco Administrativo. Segundo essa concepção, 
a administração pública assume o ônus de reparar os danos decorrentes de sua atividade, 
independentemente da existência de dolo ou culpa. O Código Civil complementa essa 
previsão ao reconhecer a responsabilidade civil objetiva das pessoas de direito público 
interno pelos atos de seus agentes que causem danos a terceiros, conforme estabelecido 
no art. 43. 

Portanto, a responsabilidade civil do Estado, respaldada pela Constituição Federal 
e pelo Código Civil, adota o critério objetivo, buscando garantir a efetividade do direito à 
reparação dos danos causados por agentes públicos no exercício de suas atribuições. 

Analise-se a explicação de Carvalho Filho: 


O Estado tem maior poder e mais sensíveis prerrogativas do que o 
administrado. É realmente o sujeito jurídica, política e economicamente mais 
poderoso. O indivíduo, ao contrário, tem posição de subordinação, mesmo 
que protegido por inúmeras normas do ordenamento jurídico. Sendo assim, 
não seria justo que, diante de prejuízos oriundos da atividade estatal, tivesse 
ele que se empenhar demasiadamente para conquistar o direito à reparação 
dos danos. 


Diante disso, passou-se a considerar que, por ser mais poderoso, o 
Estado teria que arcar com um risco natural decorrente de suas numerosas 
atividades: à maior quantidade de poderes haveria de corresponder um risco 
maior. Surge, então, a teoria do risco administrativo, como fundamento da 
responsabilidade objetiva do Estado.[...] 


Além do risco decorrente das atividades estatais em geral, constituiu também 
fundamento da responsabilidade objetiva do Estado o princípio da repartição 
dos encargos. O Estado, ao ser condenado a reparar os prejuízos do lesado, 
não seria o sujeito pagador direto; os valores indenizatórios seriam resultantes 
da contribuição feita por cada um dos demais integrantes da sociedade, a 
qual, em última análise, é a beneficiária dos poderes e das prerrogativas 
estatais. 
Aresponsabilidade objetiva do Estado, fundamentada na teoria do risco administrativo 
e no princípio da repartição dos encargos, representa um mecanismo jurídico essencial 
para mitigar as dificuldades enfrentadas por indivíduos prejudicados por condutas de 
agentes estatais. Essa abordagem visa promover a justiça social e equilibrar as relações 
entre o Poder Público e os cidadãos. 
Ao adotar a responsabilidade objetiva, a legislação estabelece que, em situações de 


ação ou omissão por parte da administração pública que resultem em danos, a indenização 
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aos prejudicados é assegurada. Essa garantia de reparação independe da natureza do 
ato que causou o prejuízo, proporcionando uma maior proteção aos direitos dos cidadãos. 

Ateoria do risco administrativo, integrada nesse contexto, estabelece que o Estado, 
ao realizar suas atividades, assume o ônus de responder pelos danos causados a terceiros, 
sem a necessidade de comprovação de culpa. Essa abordagem reflete a ideia de que 
os encargos decorrentes da atividade estatal devem ser compartilhados de maneira justa 
entre a sociedade e o Poder Público. 

Assim, a responsabilidade objetiva do Estado, respaldada por princípios como 
o do risco administrativo, desempenha um papel crucial na busca por uma distribuição 
equitativa das responsabilidades e na proteção dos direitos individuais frente às ações 
estatais. A objetivação da responsabilidade do Estado garante que nos casos de ação ou 
omissão, cometidas pela administração pública, que gerem dano haverá indenização aos 
prejudicados. Dessa forma, o Estado responde independente do ato que gerou o prejuízo. 
Nesse mesmo sentido, aduz Ulhoa: 


Não é relevante a questão da licitude ou ilicitude do ato causador do dano; 

a indenização será devida em qualquer hipótese pelo Estado. Note-se que, 

se houver ato ilícito (dolo ou culpa) por parte de seu agente, terá o Estado 

direito de regresso contra ele. Paga, então, ao prejudicado e recupera 

com o agente culpado o valor da indenização. [...] Para que o Estado se 

responsabilize objetivamente pelo dano, não se exige que o causador seja 

funcionário público efetivo ou comissionado. O preceito normativo menciona 

a responsabilidade das pessoas jurídicas de direito público pelos danos 

causados por seus agentes, conceito amplo que alcança toda e qualquer 

pessoa a serviço do Estado. Por outro lado, se o dano é provocado por quem 

não cumpre essa condição, o Estado não é responsabilizável ( 2012, p. 741). 

Na hipótese de violação de direitos individuais pela administração pública durante o 
tratamento de dados, mesmo nos casos em que a LGPD não incide, a responsabilidade civil 
é objetiva, impondo à administração pública a obrigação de reparar os danos causados, 
independentemente da configuração de culpa, ressaltando a obrigação de indenizar os 
prejudicados. Consoante a análise de Patrícia Pinheiro (2018, p. 90), cabe à autoridade 
nacional, órgão competente criado pela LGPD, assegurar a adoção de medidas cabíveis e 
proporcionais em face de violações no tratamento de dados pessoais pelos órgãos públicos. 
A autoridade nacional, no exercício de sua atribuição de supervisão da proteção de 
dados, abrange tanto pessoas jurídicas de direito público quanto de direito privado. Além 
do desempenho de processos administrativos, a autoridade nacional detém a faculdade 
de requisitar a publicação de relatórios de impacto à proteção de dados pessoais, 
demandar informações específicas sobre o escopo e a natureza dos dados tratados pelos 
agentes do Poder Público, e propor a implementação de padrões e boas práticas para 
os procedimentos de tratamento de dados. Em caso de infração à LGPD, é autorizada a 


emissão de recomendações e a imposição de medidas cabíveis. 
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Finalmente, cumpre destacar que o artigo 43 da LGPD elenca situações excludentes 
da responsabilidade civil dos agentes de tratamento, abrangendo a administração pública. 
Essas excludentes compreendem a não realização do tratamento atribuído, o dano 
decorrente de culpa exclusiva do titular dos dados ou de terceiro, bem como a conformidade 
com a legislação de proteção de dados. Tais exceções são aplicáveis à exclusão da 
responsabilidade do Poder Público, na medida em que rompem o nexo de causalidade. 


De acordo com a teoria do risco administrativo, adotada pelo art. 37, 8 6.º, 
da CRFB, o Estado pode se defender nas ações indenizatórias por meio do 
rompimento do nexo de causalidade, demonstrando que o dano suportado 
pela vítima não foi causado pela ação ou omissão administrativa. São causas 
excludentes do nexo causal: fato exclusivo da vítima, fato de terceiro e caso 
fortuito ou força maior. As causas excludentes decorrem da redação da 
referida norma constitucional que consagra a responsabilidade civil do Estado 
apenas pelos danos causados por seus agentes públicos, o que não ocorre 
nas hipóteses em que os danos são imputados à própria vítima, ao terceiro e 
aos eventos da natureza. Nessas situações não há ato ou fato administrativo 
que tenha causado o dano à vítima (OLIVEIRA, 2018, p. 797). 


Dessa forma, a responsabilidade estatal não é congifurada quando os danos não 
resultam de ação ou omissão de agentes públicos no exercício de suas funções ou a serviço 
da administração pública, tampouco em situações em que os prejuízos são causados pela 
própria vítima ou exclusivamente por terceiros. Isso ocorre porque, na perspectiva da teoria 
do risco administrativo, majoritariamente adotada pela doutrina, a responsabilidade do 
Estado se configura apenas na presença de sua participação total ou parcial nos eventos 
danosos. Nos casos em que há contribuição parcial do lesado, o Estado pode ter sua 
obrigação de indenizar atenuada. Por outro lado, em situações em que somente o lesado 
ou terceiro concorre para o dano, o Estado se isenta da responsabilidade civil. 


3.3 DA RESPONSABILIDADE CIVIL DOS AGENTES DE TRATAMENTO DOS 
DADOS PESSOAIS 

A Lei Geral de Proteção de Dados (LGPD) delineia três figuras de agentes 
responsáveis pelo tratamento de dados: o controlador, pessoa natural ou jurídica, de direito 
público ou privado, incumbida das decisões relativas ao tratamento de dados pessoais; o 
operador, pessoa natural ou jurídica, de direito público ou privado, que conduz o tratamento 
de dados pessoais em nome do controlador; e o encarregado, pessoa indicada pelo 
controlador e operador para atuar como canal de comunicação entre o controlador, os 
titulares dos dados e a Autoridade Nacional de Proteção de Dados. 

Cada um desses agentes assume obrigações jurídicas frente aos titulares dos dados 
e à Autoridade Nacional. Tanto o controlador quanto o operador devem manter registros 
das operações de tratamento de dados pessoais realizadas (art. 36), visando assegurar 
a transparência das ações. O controle exercido pela Autoridade Nacional permite que ela 
determine ao controlador a elaboração de relatório de impacto à proteção de dados pessoais, 
inclusive de dados sensíveis, referente às suas operações de tratamento (art. 37). 
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Quanto ao encarregado, conforme abordado anteriormente, sua identidade e 
informações de contato devem ser divulgadas publicamente pelo controlador, estabelecendo 
assim a comunicação com os titulares. As atividades do encarregado incluem aceitar 
reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 
receber comunicações da Autoridade Nacional e adotar providências; orientar os 
funcionários e contratados da entidade sobre as práticas relacionadas à proteção de dados 
pessoais; e executar outras atribuições determinadas pelo controlador ou estabelecidas 
em normas complementares (art. 41). A figura do encarregado representa uma medida 
preventiva contra a centralização dos dados, validando a segurança do tratamento de 
dados perante o titular (Pinheiro, 2018). 

No que concerne às obrigações do controlador e do operador, o artigo 39 da LGPD 
estabelece que “o operador deverá realizar o tratamento segundo as instruções fornecidas 
pelo controlador, que verificará a observância das próprias instruções e das normas sobre 
a matéria”. Segundo Patrícia Pinheiro, esse artigo estabelece um elo entre a figura do 
controlador e o operador. Senão, vejamos: 


A regulamentação de proteção de dados pessoais tem o condão de 
estabelecer uma responsabilidade solidária do controlador para com o 
operador a partir do contrato entre eles, considerando que quem detém o 
consentimento do titular é o controlador e, portanto, continua a ser o que fica 
responsável pelo que ocorre no ciclo de vida dos dados pessoais na gestão 
e governança do negócio ( 2018, p.98). 


Segundo o Código Civil, art. 264, “há solidariedade quando na mesma obrigação 
concorre mais de um credor, ou mais de um devedor, cada um com direito, ou obrigado, à 
dívida toda”. Aresponsabilidade civil solidária configura exceção ao princípio da divisibilidade 
das obrigações e apenas pode decorrer de lei, como no presente caso, ou de vontade das 
partes. Contudo, a solidariedade não condiciona que os obrigados solidários respondam 
mesma extensão ou condição, uma vez que a lei pode atribuir a direitos ou obrigações 
diferentes (ULHOA, 2012, p. 191). É o que acontece na Lei Geral de Proteção de Dados : 


Art. 42. O controlador ou o operador que, em razão do exercício de atividade 
de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, 
individual ou coletivo, em violação à legislação de proteção de dados 
pessoais, é obrigado a repará-lo. 


§ 1º A fim de assegurar a efetiva indenização ao titular dos dados: 


|- o operador responde solidariamente pelos danos causados pelo tratamento 
quando descumprir as obrigações da legislação de proteção de dados ou 
quando não tiver seguido as instruções lícitas do controlador, hipótese em 
que o operador equipara-se ao controlador, salvo nos casos de exclusão 
previstos no art. 43 desta Lei; 


Il - os controladores que estiverem diretamente envolvidos no tratamento do 
qual decorreram danos ao titular dos dados respondem solidariamente, salvo 
nos casos de exclusão previstos no art. 43 desta Lei (BRASIL, 2018). 
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A análise do artigo revela que operadores e controladores estão sujeitos a diferentes 
condições para responder por possíveis danos. O operador responderá solidariamente 
apenas quando descumprir as obrigações legais ou deixar de seguir as instruções do 
controlador. Assim, uma violação por parte do controlador resulta em sua responsabilização. 

Por outro lado, os controladores de dados sempre serão responsáveis pelo 
tratamento de dados. A LGPD estabelece diversas obrigações específicas para o 
controlador, tornando inviável sua figura não estar envolvida no tratamento. Ao adotar 
essas medidas, a LGPD impede que o operador negligencie sua obrigação de proteger os 
dados sob sua responsabilidade. 

A responsabilidade solidária recai sobre o controlador e o operador quando o 
tratamento de dados for irregular. A irregularidade ocorre quando não se observa a 
legislação, não são adotadas as medidas de segurança previstas ou quando não é fornecida 
a segurança esperada pelo titular, seja em relação ao modo, ao resultado, aos riscos ou às 
técnicas na época em que foi realizado (art. 44). 

Quanto às vítimas, o caput do art. 42 utiliza o termo “outrem” para referir-se a elas, 
ampliando o conceito de vítima além do titular dos dados e estendendo-se a qualquer 
pessoa que sofra um dano decorrente da violação da LGPD, inclusive pessoas jurídicas 
(Moraes; Queiroz; 2019). 

Conforme mencionado anteriormente, o artigo 43 lista as hipóteses em que não 
haverá responsabilidade dos agentes de tratamento. Essas hipóteses se aplicam à 
exclusão da responsabilidade de agentes particulares quando conseguem provar que: não 
realizaram o tratamento de dados pessoais atribuído a eles; que, mesmo tendo realizado o 
tratamento atribuído, não houve violação à legislação de proteção de dados; ou que o dano 
decorre de culpa exclusiva do titular dos dados ou de terceiros. 

Com base nas hipóteses apresentadas para a exclusão da responsabilidade civil, é 
possível determinar o regime de responsabilidade civil adotado pela Lei Geral de Proteção 
de Dados. Nesse sentido, Maria Celina Bodin de Moraes e João Quinelato de Queiroz, em 
seu artigo “Autodeterminação informativa e responsabilização proativa: novos instrumentos 
de tutela da pessoa humana na LGPD”, estabelecem o seguinte: 


O sistema de responsabilidade civil da LGPD, previsto nos artigos 42 a 
45, mostra-se especialíssimo, sendo talvez a principal novidade da lei, 
e reflete o disposto no inciso X do art. 6º da Lei que prevê o princípio da 
“responsabilização e prestação de contas, isto é, a demonstração, pelo 
agente, da adoção de medidas eficazes e capazes de comprovar a 
observância e o cumprimento das normas de proteção de dados pessoais e, 
inclusive, da eficácia dessas medidas”. O legislador pretendeu não apenas 
mandar ressarcir, mas quer prevenir e evitar a ocorrência de danos. Assim, 
esta responsabilidade especial, à semelhança do que ocorre no Regulamento 
europeu, está articulada em torno de três noções fundamentais, que devem 
ser somadas: i) dano, ii) violação da legislação de proteção dos dados por 
parte do controlador e/ou operador e iii) reparação. Com efeito, o regime 
demanda que o dano seja resultante de violação da LGPD e que tenha 
sido causado por um agente de tratamento dos dados para então impor a 
obrigação de ressarcir a parte lesada (2018, p.130). 
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Consoante à análise dos doutrinadores, diante da necessidade de demonstrar, além 
do dano e da autoria, a violação normativa, infere-se que a LGPD adotou o paradigma 
da responsabilidade subjetiva. Contudo, cabe destacar que a opção não recai no regime 
ordinário, mas sim no escopo da responsabilidade subjetiva com culpa presumida. 

A distinção entre a responsabilidade subjetiva com presunção de culpa e a 
responsabilidade objetiva, na qual a comprovação da culpa é dispensada para a reparação 
de danos, evidencia-se pela culpa presumida, que se refere à transgressão de um dever 
imposto por lei ou regulamento, sendo denominada, por vezes, como “culpa contra a 
legalidade” (VENOSA, 2018, p. 487). 

Portanto, mesmo que ainda seja necessário atestar a culpa para a configuração 
da responsabilidade, constata-se uma flexibilização na produção probatória no curso 
processual. O 82º do art. 42 da LGPD, ao facultar ao magistrado a inversão do ônus 
probatório em favor do titular dos dados, adota a culpa presumida, considerando a 
hipossuficiência probatória da vítima e presumindo que a origem do dano resultou de uma 
transgressão à Lei Geral de Proteção de Dados. 

Além disso, conforme disposto no art. 45, “as hipóteses de violação do direito do titular 
no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade 
previstas na legislação pertinente”. Dessa forma, em determinados casos de violação, a 
responsabilidade civil será aplicada conforme os preceitos da legislação consumerista 
(Pinheiro, 2018). 
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CONSIDERAÇÕES FINAIS 


Orlando Gomes, em sua obra “A Crise do Direito”, ressalta que o cerne do mais 
importante dos problemas, a liberdade, não é enfrentado em seus elementos básicos. Ele 
argumenta que a discussão permanece no âmbito teórico, negligenciando as situações 
concretas que demandam exame. 

A Lei Geral de Proteção de Dados (LGPD) emerge como um retorno aos casos em 
que a liberdade individual foi infringida por meio da violação de dados pessoais. Ela se 
apresenta como o mecanismo essencial para a reparação de danos e a preservação da 
privacidade, especialmente em ambientes virtuais nos quais não há fronteiras claras. 

O propósito deste trabalho foi analisar a incidência do instituto da responsabilidade 
civil na LGPD. Para isso, foram examinados aspectos históricos da proteção de dados 
pessoais desde o surgimento da Internet, bem como a evolução histórica da responsabilidade 
civil que moldou os contornos desse instituto jurídico, abordando seu conceito, funções e 
pressupostos. 

A partir dos pressupostos da responsabilidade civil, observa-se que o instituto se 
desdobra em duas modalidades: a responsabilidade civil subjetiva, condicionada à presença 
da conduta culposa, do dano e do nexo causal; e a responsabilidade civil objetiva, na qual 
a culpa não constitui elemento essencial para a obrigação de reparar os danos, bastando a 
presença do dano, da conduta do agente e do nexo causal. 

Com base na análise doutrinária e no estudo de outros materiais bibliográficos, 
compreende-se que na LGPD há a incidência tanto da responsabilidade civil objetiva 
quanto subjetiva. Isso ocorre porque a natureza da responsabilidade civil está condicionada 
à natureza do agente que realiza o tratamento de dados. 

Nos cenários em que o agente de tratamento de dados assume a natureza de 
pessoa jurídica de direito público ou pessoa jurídica de direito privado prestando serviço 
sob comando do Poder Público, a responsabilidade civil adotada é de natureza objetiva. 
Embora não esteja explicitada em nenhum artigo da LGPD, sua inferência é possível 
mediante análise da responsabilidade civil do Estado. Esta, após um processo histórico 
de aprimoramento, culminou no regime de responsabilidade civil objetiva do Estado, 
fundamentado na teoria do risco administrativo e na repartição dos encargos. 

Quando o agente de tratamento de dados é uma pessoa jurídica de direito privado, o 
regime adotado para a possível reparação de danos será a responsabilidade civil subjetiva. 
Nesse contexto, será necessário comprovar, além do dano, autor da conduta e nexo causal, 
a culpa do agente. Entretanto, conforme expresso na própria lei, reconhecendo a relação 
de vulnerabilidade entre o titular de dados e o agente de tratamento, é possível a inversão 
do ônus da prova. 

Considerando que, na maioria dos casos, salvo exceções raríssimas, será inviável 


para o titular produzir provas contra o agente de tratamento, devido à carência de meios 
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probatórios, o regime aplicado quando o tratamento de dados é realizado por pessoas 
jurídicas de direito público será o da responsabilidade civil subjetiva com culpa presumida. 

No tocante à responsabilidade entre os agentes de tratamento de dados, esta será 
solidária. O operador responde solidariamente pelos danos causados pelo tratamento ao 
descumprir as obrigações da legislação ou ao não seguir as instruções lícitas do controlador. 
Os controladores, por sua vez, respondem solidariamente quando diretamente envolvidos 
no tratamento que resultou em danos ao titular. 

A LGPD também expressamente prevê as hipóteses em que não haverá 
responsabilidade civil dos agentes de tratamento de dados, a saber: quando não realizarem 
o tratamento atribuído a eles; quando o dano decorrer de culpa exclusiva do titular dos 
dados ou de terceiros; e quando não houver violação à legislação de proteção de dados. 
Essas exclusões de responsabilidade são aplicáveis tanto a pessoas de direito privado 
quanto a pessoas de direito público. 

Observa-se que, além das duas primeiras hipóteses que quebram o nexo de 
causalidade por ausência de autoria e culpa exclusiva da vítima ou de terceiros, a LGPD 
inclui uma possibilidade de exclusão de responsabilidade decorrente da ausência de 
violação da lei. Em relação a esse tema, o debate jurídico está dividido entre os que apoiam 
a terceira hipótese de responsabilidade civil e os que a contestam. 

De um lado, alguns sustentam a inclusão da previsão legal em virtude da 
vulnerabilidade intrínseca às organizações frente às ameaças cibernéticas avançadas. 
Mesmo aderindo estritamente à LGPD, os agentes de tratamento de dados se deparam 
com a crescente sofisticação tecnológica de organizações criminosas na internet, capazes 
de transpor barreiras de segurança. Nessa ótica, a exclusão da responsabilidade civil e a 
consideração de sanções mais severas se justificam, reconhecendo a imprevisibilidade e 
complexidade dos ataques virtuais. 

Por outro lado, há uma corrente que advoga pela aplicação integral da objetivação da 
responsabilidade civil pela LGPD. Defendem que o tratamento de dados, por sua natureza, 
configura uma atividade de risco. Além disso, enxergam na responsabilidade civil objetiva 
uma efetiva salvaguarda dos titulares de dados, sujeitos a uma hipervulnerabilidade diante 
dos agentes de tratamento. 

Não obstante as controvérsias inerentes ao âmbito jurídico, particularmente quando 
se trata da proteção direta de interesses sociais, a Lei Geral de Proteção de Dados representa 
um avanço fundamental na evolução do instituto da responsabilidade civil no contexto digital. 
ALGPD não apenas estabelece critérios normativos para a responsabilização, mas exige a 
implementação de medidas eficazes que comprovem a observância e o cumprimento das 
normas de proteção de dados pessoais, conforme disposto no inciso X do art. 6º. 

Dessa forma, na Lei Geral de Proteção de Dados, a responsabilidade civil transcende 
a mera tutela reparatória de danos, assumindo uma função mais proativa como mecanismo 
de responsabilização preventiva. 
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A eficácia plena da LGPD só será tangível com sua entrada em vigor em 2021. 
Contudo, desde já, a relevância jurídica da lei se destaca. Por anos, o Brasil carecia de uma 
legislação que atualizasse os tradicionais institutos jurídicos, tornando-os mais adequados 
às demandas emergentes do cenário digital, proporcionando um arcabouço normativo que 
favorece decisões judiciais alinhadas com as necessidades sociais contemporâneas. 

Finalmente, é pertinente citar um renomado cientista que afirmou: “tornou-se 
aparentemente óbvio que nossa tecnologia excedeu nossa humanidade”. Nesse contexto, 
o Direito, enquanto instrumento de tutela da dignidade da pessoa humana e das garantias 
fundamentais, emerge como a única ferramenta capaz de preservar nossa humanidade 
diante dos avanços tecnológicos. O Direito se configura como o meio que garante que a 
tecnologia permaneça a serviço da sociedade e não o contrário. 

Apenas por meio de medidas legais e da efetivação de garantias fundamentais é 
que a liberdade continua a ser inerente à essência humana. Poucas coisas são tão íntimas 
e, ao mesmo tempo, tão suscetíveis a violações quanto os dados pessoais. Portanto, a 
utilização e o compartilhamento desses dados devem ser um reflexo direto das intenções 
individuais daqueles que os cedem. 

O propósito deste trabalho foi respaldar a liberdade individual, através da defesa da 
privacidade no meio digital, ao mesmo tempo em que contribui para que o Direito não se 
distancie da realidade concreta. Isso, por sua vez, permite que a ciência jurídica não se 
isole e, como resultado direto, sirva a toda a humanidade, contribuindo para a geração de 


conhecimento de maneira clara e acessível. 
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